本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Security Hub 中的 NIST SP 800-53 Rev. 5

NIST SP 800-53 Rev. 5 是由美国商务部下属机构美国国家标准与技术研究院 (NIST) 开发的网络安全和合规框架。此合规性框架可帮助您保护信息系统和关键资源的可用性、机密性和完整性。美国联邦政府机构和承包商必须遵守 NIST SP 800-53 来保护其系统，但私营公司可以自愿将其用作降低网络安全风险的指导框架。

Security Hub 提供支持选定 NIST SP 800-53 要求的控件。这些控件通过自动安全检查进行评估。Security Hub 控件不支持需要手动检查的 NIST SP 800-53 要求。此外，Security Hub 控件仅支持自动化 NIST SP 800-53 要求，这些要求在每个控件的详细信息中列为相关要求。从以下列表中选择一个控件以查看其详细信息。Security Hub 目前不支持控件细节中未提及的相关要求。

与其他框架不同，NIST SP 800-53 没有规定如何评估其需求。相反，该框架提供了指导方针，Security Hub NIST SP 800-53 控件代表了服务对它们的理解。

如果您使用与 Security Hub 的集成 AWS Organizations 来集中管理多个帐户，并且想要在所有账户中批量启用 NIST SP 800-53，则可以从管理员帐户运行 Sec urity Hub 多账户脚本。

有关 NIST SP 800-53 Rev. 5 的更多信息，请参阅 NIST 计算机安全资源中心。

适用于 NNIST SP 800-53 Rev. 5 的控件

[Account.1] 应为 AWS 账户 提供安全联系人信息。

[Account.2] AWS 账户 应该是 AWS Organizations 组织的一部分

[ACM.1] 导入和ACM签发的证书应在指定的时间段后续订

[APIGateway.1] 应启用API网关REST和 WebSocket API执行日志记录

[APIGateway.2] 应将API网关RESTAPI阶段配置为使用SSL证书进行后端身份验证

[APIGateway.3] API 网关RESTAPI阶段应启用跟 AWS X-Ray 踪

[APIGateway.4] API 网关应与 Web 关联 WAF ACL

[APIGateway.5] API 网关RESTAPI缓存数据应在静态时加密

[APIGateway.8] API 网关路由应指定授权类型

[APIGateway.9] 应为API网关 V2 阶段配置访问日志

[AppSync.5] 不应使用密钥 AWS AppSync 对 G APIs raphQL 进行身份验证 API

[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查

[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域

[AutoScaling.3] Auto Scaling 组启动配置应将EC2实例配置为需要实例元数据服务版本 2 (IMDSv2)

[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的EC2亚马逊实例不应具有公有 IP 地址

[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型

[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊EC2启动模板

[Backup.1] 应对 AWS Backup 恢复点进行静态加密

[CloudFront.1] CloudFront 发行版应配置默认根对象

[CloudFront.3] CloudFront 发行版在传输过程中应要求加密

[CloudFront.4] CloudFront 发行版应配置源站故障转移

[CloudFront.5] CloudFront 发行版应启用日志记录

[CloudFront.6] CloudFront 发行版应该已启用 WAF

[CloudFront.7] CloudFront 发行版应使用自定义SSL/证书 TLS

[CloudFront.8] 应使用 CloudFront 发行版SNI来处理请求 HTTPS

[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量

[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的SSL协议

[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应该启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

[CloudWatch.15] CloudWatch 警报应配置指定操作

[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留

[CloudWatch.17] 应激活 CloudWatch 警报操作

[CodeBuild.1] CodeBuild Bitbucket 源存储库URLs不应包含敏感凭证

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密

[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 AWS Config

AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

[DataFirehose.1] 应对 Firehose 传输流进行静态加密

[DMS.1] Database Migration Service 的复制实例不应是公共的

[DMS.6] DMS 复制实例应启用自动次要版本升级

[DMS.7] 目标数据库的DMS复制任务应启用日志记录

[DMS.8] 源数据库的DMS复制任务应启用日志记录

[DMS.9] DMS 端点应使用 SSL

[DMS.10] Neptune 数据库的DMS端点应启用授权 IAM

[DMS.11] MongoDB 的DMS端点应启用身份验证机制

[DMS.12] Redis 的DMS终端节点OSS应该已启用 TLS

[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密

[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期

[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开

[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch

[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time

[DynamoDB.3] DynamoDB Accelerator () 集群应处于静态加密状态 DAX

[DynamoDB.4] 备份计划中应有 DynamoDB 表

[DynamodB.6] DynamoDB 表应启用删除保护

[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密

[EC2.1] Amazon EBS 快照不应公开恢复

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.3] 附加的 Amazon EBS 卷应在静态状态下进行加密

[EC2.4] 应在指定时间段后移除已停止的 EC2 实例

[EC2.6] 应全部启用 VPC 流量记录 VPCs

[EC2.7] 应启用 EBS 默认加密

[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2

[EC2.9] Amazon EC2 实例不应有公共地址 IPv4

[EC2.10] EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点

[EC2.12] EC2 EIPs 应移除未使用的亚马逊

[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22

[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] Amazon EC2 实例不应使用多个 ENIs

[EC2.18] 安全组应只允许授权端口不受限制的传入流量

[EC2.19] 安全组不应允许不受限制地访问高风险端口

[EC2.20] VPN 连接的两个 VP AWS Site-to-Site N 隧道都应处于开启状态

[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[EC2.23] Amazon Tr EC2 ansit Gateways 不应自动接受 VPC 连接请求

[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型

[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口

[EC2.28] 备份计划应涵盖 EBS 卷

[EC2.51] EC2 客户端 VPN 端点应启用客户端连接日志记录

[EC2.55] VPCs 应配置用于 ECR API 的接口端点

[EC2.56] VPCs 应配置 Docker Registry 的接口端点

[EC2.57] VPCs 应使用 Systems Manager 的接口端点进行配置

[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点

[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点

[ECR.1] ECR 私有仓库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义。

[ECS.2ECS] 不应自动为其分配公有 IP 地址

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应以非特权身份运行

[ECS.5] 应将ECS容器限制为对根文件系统的只读访问权限

[ECS.8] 不应将机密作为容器环境变量传递

[ECS.9] ECS 任务定义应具有日志配置

[ECS.10] Farg ECS ate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应使用容器见解

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS

[EFS.2] Amazon EFS 卷应包含在备份计划中

[EFS.3] EFS 接入点应强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

[EFS.6] EFS 装载目标不应与公有子网关联

[EKS.1] 不应公开访问EKS集群终端节点

[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行

[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥

[EKS.8] EKS 集群应启用审核日志

[ElastiCache.1] ElastiCache (RedisOSS) 集群应启用自动备份

[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级

[ElastiCache.3] ElastiCache 复制组应启用自动故障切换

[ElastiCache.4] ElastiCache 复制组应进行静态加密

[ElastiCache.5] ElastiCache 复制组在传输过程中应加密

[ElastiCache.6] ElastiCache （RedisOSS）早期版本的复制组应启用 Redis OSS AUTH

[ElastiCache.7] ElastiCache 群集不应使用默认子网组

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.1] 应将 Application Load Balancer 配置为将所有HTTP请求重定向到 HTTPS

[ELB.2] 带SSL/HTTPS监听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager

[ELB.3] 应将 Classic Load Balancer 侦听器配置为HTTPS或终止 TLS

[ELB.4] 应将 Application Load Balancer 配置为删除无效的 http 标头

[ELB.5] 应启用应用程序和经典负载均衡器日志记录

[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护

[ELB.7] 经典负载均衡器应启用连接耗尽功能

[ELB.8] 带有SSL侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 AWS Config

[ELB.9] 经典负载均衡器应启用跨区域负载均衡

[ELB.10] Classic Load Balancer 应跨越多个可用区

[ELB.12] 应将 Application Load Balancer 配置为防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELB.14] 应将 Classic Load Balancer 配置为防御性或最严格的不同步缓解模式

[ELB.16] 应用程序负载均衡器应与 Web 关联 AWS WAF ACL

[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址

[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置

[EMR.3] Amazon EMR 安全配置应进行静态加密

[EMR.4] Amazon EMR 安全配置应在传输过程中进行加密

[ES.1] Elasticsearch 域应启用静态加密

[ES.2] Elasticsearch 域名不可供公共访问

[ES.3] Elasticsearch 域应加密节点之间发送的数据

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志

[ES.5] Elasticsearch 域名应该启用审核日志

[ES.6] Elasticsearch 域应拥有至少三个数据节点

[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点

[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密

[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略

[EventBridge.4] EventBridge 全局端点应启用事件复制

[FSx.1] FSx 对于开放ZFS文件系统，应配置为将标签复制到备份和卷

[FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份

[GuardDuty.1] GuardDuty 应该启用

[IAM.1] IAM policy 不应允许完整的“*”管理权限

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.7] IAM 用户的密码策略应具有可靠的配置

[IAM.8] 应移除未使用的 IAM 用户凭证

[IAM.9] 应为根用户启用 MFA

[IAM.19] 应为所有 IAM 用户启用 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[Kinesis.1] Kinesis 直播应在静态状态下进行加密

[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作

[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略

AWS KMS keys 不应无意中删除 [KMS.3]

[KMS.4] 应启用 AWS KMS 密钥轮换

[Lambda.1] Lambda 函数策略应禁止公共访问

[Lambda.2] Lambda 函数应使用受支持的运行时系统

[Lambda.3] Lambda 函数应位于 VPC

[Lambda.5] Lambd VPC a 函数应在多个可用区中运行

[Macie.1] 应启用 Amazon Macie

[Macie.2] 应启用 Macie 敏感数据自动发现

[MSK.1] MSK 集群应在代理节点之间传输时进行加密

[MSK.2] MSK 集群应配置增强监控

[MQ.2] ActiveMQ 代理应将审计日志流式传输到 CloudWatch

[MQ.3] Amazon MQ 代理应启用次要版本自动升级

[MQ.5] ActiveMQ 代理应使用主动/备用部署模式

[MQ.6] RabbitMQ 代理应该使用集群部署模式

[Neptune.1] 应对 Neptune 数据库集群进行静态加密

[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch

[Neptune.3] Neptune 数据库集群快照不应公开

[Neptune.4] Neptune 数据库集群应启用删除保护

[Neptune.5] Neptune 数据库集群应启用自动备份

[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密

[Neptune.7] Neptune 数据库集群应启用数据库身份验证 IAM

[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照

[Neptune.9] Neptune 数据库集群应跨多个可用区部署

[NetworkFirewall.1] Network Firewall 应跨多个可用区部署。

[NetworkFireWall.2] 应启用 Network Firewall 日志记录

[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组

[NetworkFireWall.4] 网络防火墙策略的默认无状态操作应为丢弃或转发完整数据包

[NetworkFirewall.5] Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包

[NetworkFireWall.6] 无状态网络防火墙规则组不应为空

[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护

[Opensearch.1] OpenSearch 域名应启用静态加密

[Opensearch.2] OpenSearch 域名不应向公众开放

[Opensearch.3] OpenSearch 域应加密节点之间发送的数据

[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误

[Opensearch.5] OpenSearch 域应启用审核日志

[Opensearch.6] OpenSearch 域名应至少有三个数据节点

[Opensearch.7] OpenSearch 域名应启用精细访问控制

[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密

[Opensearch.10] OpenSearch 域名应安装最新的软件更新

[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点

[PCA.1] 应禁用 AWS Private CA 根证书颁发机构

[RDS.1] RDS 快照应为私有

[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible

[RDS.3] RDS 数据库实例应启用静态加密

[RDS.4] RDS 集群快照和数据库快照应进行静态加密

[RDS.5] RDS 数据库实例应配置多个可用区

[RDS.6] 应为 RDS 数据库实例配置增强监控

[RDS.7] RDS 集群应启用删除保护

[RDS.8] RDS 数据库实例应启用删除保护

[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.11] RDS 实例应启用自动备份

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照

[RDS.18] RDS 实例应部署在 VPC 中

[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅

[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅

[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅

[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅

[RDS.23] RDS 实例不应使用数据库引擎的默认端口

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[RDS.26] RDS 数据库实例应受备份计划保护

[RDS.27] 应对 RDS 数据库集群进行静态加密

[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch

[RDS.35] RDS 数据库集群应启用自动次要版本升级

[Redshift.1] Amazon Redshift 集群应禁止公共访问

[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密

[Redshift.3] Amazon Redshift 集群应启用自动快照

[Redshift.4] Amazon Redshift 集群应启用审核日志记录

[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能

[Redshift.7] Redshift 集群应使用增强型路由 VPC

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[Redshift.10] Redshift 集群应在静态状态下进行加密

[Route53.2] Route53 公共托管区域应记录查询 DNS

[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置

[S3.2] S3 通用存储桶应阻止公共读取访问权限

[S3.3] S3 通用存储桶应阻止公共写入访问权限

[S3.5] S3 通用存储桶应要求请求才能使用 SSL

[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户

[S3.7] S3 通用存储桶应使用跨区域复制

[S3.8] S3 通用存储桶应屏蔽公共访问权限

[S3.9] S3 通用存储桶应启用服务器访问日志记录

[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置

[S3.11] S3 通用存储桶应启用事件通知

ACLs不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限

[S3.13] S3 通用存储桶应具有生命周期配置

[S3.14] S3 通用存储桶应启用版本控制

[S3.15] S3 通用存储桶应启用对象锁定

[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys

[S3.19] S3 接入点已启用屏蔽公共访问权限设置

[S3.20] S3 通用存储桶应启用删除功能 MFA

[SageMaker.1] Amazon SageMaker AI 笔记本实例不应直接访问互联网

[SageMaker.2] SageMaker AI 笔记本实例应在自定义 VPC 中启动

[SageMaker.3] 用户不应拥有 SageMaker AI 笔记本实例的 root 访问权限

[SageMaker.4] SageMaker AI 端点生产变体的初始实例数应大于 1

[SecretsManager.1] Secrets Manager 密钥应启用自动轮换

[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换

[SecretsManager.3] 移除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[ServiceCatalog.1] Service Catalog 产品组合仅应在 AWS 组织内共享

[SNS.1] 应使用以下方法对SNS主题进行静态加密 AWS KMS

[SQS.1] 应对 Amazon SQS 队列进行静态加密

[SSM.1] 亚马逊EC2实例应由以下人员管理 AWS Systems Manager

[SSM.2] 安装补丁COMPLIANT后，由 Systems Manager 管理的亚马逊EC2实例的补丁合规性状态应为

[SSM.3] 由 Systems Manager 管理的亚马逊EC2实例的关联合规状态应为 COMPLIANT

[SSM.4] SSM 文档不应公开

[Transfer.2] Transfer Family 服务器不应使用FTP协议进行端点连接

[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录

[WAF.2] AWS WAF 经典区域规则应至少有一个条件

[WAF.3] AWS WAF 经典区域规则组应至少有一条规则

[WAF.4] AWS WAF 经典区域网站ACLs应至少有一个规则或规则组

[WAF.6] AWS WAF 经典全局规则应至少有一个条件

[WAF.7] AWS WAF 经典全局规则组应至少有一条规则

[WAF.8] AWS WAF 经典全球 Web ACLs 应至少有一个规则或规则组

[WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组

[WAF.11] 应ACL启用 AWS WAF 网络日志记录

[WAF.12] AWS WAF 规则应启用 CloudWatch 指标