本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
美國國家標準與技術研究院 (NIST)
NIST SP 800-53 Rev.5 是由美國國家標準技術研究所(NIST)開發的網絡安全和合規框架,該機構是美國商務部的一部分。此法規遵循架構可協助您保護資訊系統和關鍵資源的可用性、機密性和完整性。美國聯邦政府機構和承包商必須遵守 NIST SP 800-53 以保護其系統,但私人公司可能會自願使用它作為降低網絡安全風險的指導框架。
Security Hub 提供支援特定 NIST SP 800-53 需求的控制項。這些控制項會透過自動安全檢查進行評估。Security Hub 控制項不支援需要手動檢查的 NIST SP 800-53 需求。此外,安全中心控制項僅支援自動 NIST SP 800-53 需求,這些需求在每個控制項的詳細資料中列為「相關需求」。從下列清單中選擇控制項以查看其詳細資訊。Security Hub 目前不支援控制項詳細資料中未提及的相關需求。
與其他框架不同,NIST SP 800-53 沒有規定如何評估其要求。相反,該框架提供了指導方針,而 Security Hub NIST SP 800-53 控制項代表服務對它們的理解。
如果您使用資訊安全中心整合 AWS Organizations 來集中管理多個帳戶,並且想要在所有帳戶上批次啟用 NIST SP 800-53,您可以從系統管理員帳戶執行 Security Hub 多帳戶指令碼
如需 NIST SP 800-53 版本 5 的詳細資訊,請參閱 NIST
適用於 NIST SP 800-53 版本 5 的控制項
[帳戶 .2] AWS 帳戶 應該是組織的一部分 AWS Organizations
[ACM.1] 匯入和 ACM 核發的憑證應在指定時間後續約
應該啟用 API Gateway REST 和 WebSocket API 執行日誌記錄
應將 API Gateway REST API 階段設定為使用 SSL 憑證進行後端驗證
API 網關 REST API 階段應該已啟用跟踪 AWS X-Ray
[原則 4] API Gateway 器應該與 WAF 網頁 ACL 相關聯
[介面 5] API Gateway REST API 快取資料應在靜態時加密
[AppSync.5] AWS AppSync GraphQL API 不應該使用 API 密鑰進行身份驗證
[AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 組應使用 ELB 運行狀態檢查
[AutoScaling.2] Amazon EC2 Auto Scaling 組應涵蓋多個可用區域
[AutoScaling.3] Auto Scaling 組啟動配置應將 EC2 實例配置為需要實例元數據服務版本 2(IMDSv2)
[自動擴展 .5] 使用自動擴展群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址
[AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型
[AutoScaling.9] Amazon EC2 Auto Scaling 組應使用 Amazon EC2 啟動模板
[Backup 1] AWS Backup 復原點應該在靜態時加密
[CloudFront.1] CloudFront 發行版應該配置一個默認的根對象
[CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密
[CloudFront.4] CloudFront 發行版應該配置原始容錯移轉
[CloudFront.5] CloudFront 發行版應啟用日誌記錄
[CloudFront.6] CloudFront 發行版應啟用 WAF
[CloudFront.7] CloudFront 發行版本應使用自訂 SSL/TLS 憑證
[CloudFront.8] CloudFront 發行版應該使用 SNI 來提供 HTTPS 請求
[CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量
[CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用已棄用的 SSL 協議
[CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源
[CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤
[CloudTrail.2] CloudTrail 應該啟用靜態加密
[CloudTrail.4] 應啟用 CloudTrail 記錄檔驗證
[CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch 日誌整合
[CloudWatch.15] CloudWatch 警報應設定指定的動作
[CloudWatch.16] CloudWatch 記錄群組應保留一段指定的時間
[CloudWatch.17] 應啟動 CloudWatch 警報動作
[CodeBuild.1] CodeBuild 比特桶源存儲庫 URL 不應包含敏感憑據
[CodeBuild.2] CodeBuild 項目環境變量不應包含純文本憑據
[CodeBuild.3] CodeBuild S3 日誌應加密
[CodeBuild.4] CodeBuild 項目環境應該具有日誌記錄 AWS Config配置
[DataFirehose.1] Firehose 交付流應在靜態時加密
[DMS.1] Database Migration Service 複製執行個體不應該是公用的
[DMS.7] 目標資料庫的 DMS 複寫任務應該已啟用記錄
[DMS.8] 來源資料庫的 DMS 複製任務應該已啟用記錄
[DMS.10] Neptune 資料庫的 DMS 端點應啟用 IAM 授權
[文件 DB.1] Amazon DocumentDB 叢集應在靜態時加密
[文件 DB.2] Amazon DocumentDB 叢集應該有足夠的備份保留期
[文件 DB.3] 亞馬遜 DocumentDB 手動叢集快照不應該是公開的
[文件 DB.4] Amazon DocumentDB 叢集應將稽核日誌發佈到日誌 CloudWatch
[文件 DB.5] 亞馬遜 DocumentDB 叢集應啟用刪除保護
[動態 DynamoDB] 資料表應該已啟用復原 point-in-time
[動態 B. 3] DynamoDB 加速器 (DAX) 叢集應在靜態時加密
[EC2.2] VPC 預設安全性群組不應允許輸入或輸出流量
[EC2.3] 附加的 Amazon EBS 磁碟區應該以靜態方式加密
[EC2.4] 停止的 EC2 執行個體應在指定時間段後移除
[EC2.6] 應在所有 VPC 中啟用虛擬私人雲端流程記錄
[EC2.8] EC2 執行個體應該使用執行個體中繼資料服務版本 2 (IMDSv2)
[EC2.9] Amazon EC2 執行個體不應該有公有 IPv4 地址
[EC2.10] 應將 Amazon EC2 設定為使用針對 Amazon EC2 服務建立的 VPC 端點
[EC2.12] 應移除未使用的 Amazon EC2 EIP
[EC2.13] 安全性群組不應允許從 0.0.0.0/0 輸入或:/0 到連接埠 22 的輸入
[EC2.15] Amazon EC2 子網路不應該自動指派公有 IP 地址
[EC2.17] Amazon EC2 執行個體不應使用多個 ENI
[EC2.18] 安全群組只允許授權連接埠不受限制的傳入流量
[EC2.19] 安全性群組不應允許不受限制地存取高風險連接埠
[EC2.20] AWS 網站對站點 VPN 連線的兩個 VPN 通道都應啟動
[EC2.21] 網路 ACL 不應允許從 0.0.0/0 輸入連接埠 22 或連接埠 3389
[EC2.23] Amazon EC2 傳輸閘道不應自動接受 VPC 附件請求
[EC2.24] 不應使用 Amazon EC2 半虛擬實例類型
[EC2.25] Amazon EC2 啟動範本不應將公有 IP 指派給網路界面
[EC2.51] EC2 Client VPN 端點應啟用用戶端連線記錄
[ECS.1] Amazon ECS 任務定義應具有安全的聯網模式和使用者定義。
[ECS.10] ECS Fargate 服務應在最新的 Fargate 平台版本上運行
[EFS.1] 應將彈性檔案系統設定為使用的靜態檔案資料加密 AWS KMS
[EFS.2] Amazon EFS 磁碟區應該在備份計劃中
[EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行
[ElastiCache.1] ElastiCache Redis 叢集應啟用自動備份
[ElastiCache.2] Redis 緩存集群應啟 ElastiCache 用自 auto 次要版本升級
[ElastiCache.3] ElastiCache 對於 Redis 複製組應啟用自動故障轉移
[ElastiCache.4] ElastiCache 對於 Redis 的複製組,應該在靜態時加密
[ElastiCache.5] ElastiCache 對於 Redis 的複製組應在傳輸過程中進行加密
[ElastiCache.6] ElastiCache 對於 6.0 版之前的 Redis 複製組應使用 Redis 的 AUTH
[ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組
[ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強的健康報告
[ElasticBeanstalk2] 應啟用 Elastic Beanstalk 管理平台更新
[ELB.1] 應將應 Application Load Balancer 設定為將所有 HTTP 要求重新導向至 HTTPS
[ELB.2] 具有 SSL/HTTPS 接聽程式的傳統負載平衡器應該使用由提供的憑證 AWS Certificate Manager
[ELB.3] Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止來設定
[ELB.4] 應將應 Application Load Balancer 設定為刪除 http 標頭
[ELB.6] 應用程式、閘道和網路負載平衡器應啟用刪除保護
[ELB.8] 具有 SSL 接聽程式的傳統負載平衡器應使用具有強式設定的預先定義安全性原則 AWS Config
[ELB.10] Classic Load Balancer 應該跨越多個可用區域
[ELB.12] Application Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式
[ELB.13] 應用程式、網路和閘道負載平衡器應跨越多個可用區域
[ELB.14] Classic Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式
[ELB.16] 應用程式負載平衡器應該與網路 ACL 相關聯 AWS WAF
[EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址
[EMR.2] 應該啟用 Amazon EMR 塊公共訪問設置
[ES.4] 應該啟用彈性搜索域錯誤日誌記錄到 CloudWatch 日誌
[.8] 應使用最新的 TLS 安全策略加密至彈性搜尋網域的連線
[EventBridge.3] EventBridge 自定義事件總線應該附加基於資源的策略
[EventBridge.4] EventBridge 全域端點應啟用事件複寫
[FSx.1] OpenZFS 檔案系統的 FSx 應設定為將標籤複製到備份和磁碟區
[FSx.2] Lustre 檔案系統的 FSx 應設定為將標籤複製到備份
[IAM.3] IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次
[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA
[IAM.21] 您建立的 IAM 客戶受管政策不應允許服務使用萬用字元動作
[Kinesis.1] Kinesis 串流應該在靜態時加密
[KMS.1] IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作
[KMS.2] IAM 主體不應具有允許對所有 KMS 金鑰進行解密動作的 IAM 內嵌政策
[Lambda 1] Lambda 函數政策應該禁止公共訪問
[Lambda 2] Lambda 函數應該使用受支援的執行階段
[Lambda .5] VPC Lambda 函數應在多個可用區域中運作
[Macie.2] 應啟用 Macie 自動化敏感資料探索功能
[MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密
[MQ2] ActiveMQ 代理程式應將稽核記錄串流至 CloudWatch
[MQ.3] Amazon MQ 代理程式應啟用自動次要版本升級
[MQ.5] ActiveMQ 代理程式應該使用主動/待命部署模式
[MQ.6] RabbitMQ 代理程式應該使用叢集部署模式
[Neptune .1] Neptune DB 叢集在靜態時應加密
[Neptune .2] Neptune 資料庫叢集應將稽核記錄發佈至記錄 CloudWatch
[Neptune .3] Neptune DB 叢集快照不應該是公開的
[Neptune .4] Neptune 資料庫叢集應啟用刪除保護
[Neptune .5] Neptune 資料庫叢集應啟用自動備份
[Neptune .6] Neptune 資料庫叢集快照在靜態時應加密
[Neptune .7] Neptune 資料庫叢集應啟用 IAM 資料庫身份驗證
[Neptune .8] 應將 Neptune 資料庫叢集設定為將標籤複製到快照
[Neptune .9] Neptune 資料庫叢集應部署在多個可用區域
[NetworkFirewall.1] Network Firewall 防火牆應跨多個可用區域部署
[NetworkFirewall.2] 應啟用 Network Firewall 日誌記錄
[NetworkFirewall.3] Network Firewall 策略應至少有一個關聯的規則組
[NetworkFirewall.4] 對於完整封包,Network Firewall 策略的預設無狀態處理行動應為捨棄或轉送
[NetworkFirewall.5] 對於分散式封包,Network Firewall 策略的預設無狀態處理行動應該是捨棄或轉送
[NetworkFirewall.6] 無狀態 Network Firewall 規則群組不應為空白
[NetworkFirewall.9] Network Firewall 防火牆應啟用刪除保護
[打開搜索 .2] OpenSearch 域名不應該是可公開訪問的
應該啟用 OpenSearch 網域錯誤記錄到 CloudWatch 記錄
應使用最新的 TLS 安全策略加密與 OpenSearch 域的連接
[PCA.1] AWS Private CA 根憑證授權單位應該停用
[RDS.2] RDS 資料庫執行個體應該禁止公開存取,視設定而定 PubliclyAccessible AWS Config
[RDS.5] RDS 資料庫執行個體應該設定為多個可用區域
[RDS.9] RDS 資料庫執行個體應該將記錄檔發佈到記錄 CloudWatch
[RDS.10] 應為 RDS 執行個體設定身分與存取權管理身分驗證
[RDS.12] 應為 RDS 叢集設定身分與存取權管理身分驗證
[RDS.14] Amazon Aurora 叢集應啟用回溯
[RDS.16] RDS 資料庫叢集應設定為將標籤複製到快照
[RDS.17] RDS 資料庫執行個體應設定為將標籤複製到快照
[RDS.19] 應針對重要叢集事件設定現有 RDS 事件通知訂閱
[RDS.20] 應針對重要資料庫執行個體事件設定現有 RDS 事件通知訂閱
[RDS.21] 應為重要資料庫參數群組事件設定 RDS 事件通知訂閱
[RDS.22] 應針對重要資料庫安全性群組事件設定 RDS 事件通知訂閱
[RDS.23] RDS 執行個體不應使用資料庫引擎預設連接埠
[RDS.24] RDS 資料庫叢集應使用自訂管理員使用者名稱
[RDS.25] RDS 資料庫執行個體應使用自訂管理員使用者名稱
[RDS.26] RDS 資料庫執行個體應該受到備份計劃的保護
[RDS.34] Aurora MySQL 資料庫叢集應該將稽核記錄發佈到記錄 CloudWatch
[紅移 2] 與亞馬遜 Redshift 叢集的連接應在傳輸過程中進行加密
[紅移 6] 亞馬遜 Redshift 應該啟用自動升級到主要版本
[紅移 .7] Redshift 叢集應使用增強型 VPC 路由
[Redshift.8] 亞馬遜 Redshift 群集不應使用默認的管理員用戶名
[紅移 .9] Redshift 叢集不應使用預設的資料庫名稱
[路線 53.2] 路線 53 公共託管區域應記錄 DNS 查詢
[S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶
[S3.10] 啟用版本控制的 S3 一般用途儲存貯體應具有生命週期組態
[S3.12] ACL 不應用於管理使用者對 S3 一般用途儲存貯體的存取
[S3.17] S3 一般用途儲存貯體在靜態時應使用 AWS KMS keys
[S3.20] S3 一般用途儲存貯體應啟用 MFA 刪除功能
[SageMaker.1] Amazon SageMaker 筆記本實例不應該直接訪問互聯網
[SageMaker.2] SageMaker 筆記型電腦執行個體應在自訂 VPC 中啟動
[SageMaker.3] 用戶不應該擁有對 SageMaker 筆記本實例的 root 訪問權限
[SageMaker.4] SageMaker 端點生產變體的初始實例計數應該大於 1
[SecretsManager.1] Secrets Manager 秘密應該啟用自動旋轉
[SecretsManager.2] 配置了自動旋轉的秘密 Secrets Manager 密鑰應該成功旋轉
[SecretsManager.3] 刪除未使用的 Secrets Manager 秘密
[SecretsManager.4] Secrets Manager 密鑰應在指定的天數內輪替
[ServiceCatalog.1] Service Catalog 產品組合只能在組 AWS 織內共用
[SNS.1] SNS 主題應該使用靜態加密 AWS KMS
[SSM.1] Amazon EC2 執行個體應由以下公司管理 AWS Systems Manager
[SSM.2] 安裝修補程式後,由系統管理員管理的 Amazon EC2 執行個體修補程式合規狀態應為「合規」
[SSM.3] 由系統管理員管理的 Amazon EC2 執行個體應具有「合規」的關聯合規性狀態
[Transfer 2] Transfer Family 服務器不應使用 FTP 協議進行端點連接
[WAF.1] 應啟用 AWS WAF 傳統的全域網頁 ACL 記錄功能
[WAF.2] AWS WAF 經典區域規則至少應具有一個條件
[WAF.3] AWS WAF 傳統區域規則群組至少應該有一個規則
[WAF.4] AWS WAF 傳統區域網路 ACL 至少應該有一個規則或規則群組
[WAF.6] AWS WAF 經典全域規則至少應該有一個條件
[WAF.7] AWS WAF 傳統全域規則群組至少應該有一個規則
[WAF.8] AWS WAF 傳統的全域網路 ACL 至少應該有一個規則或規則群組
[WAF.10] AWS WAF 網路 ACL 至少應該有一個規則或規則群組
[WAF.11] 應該啟用 AWS WAF 網頁 ACL 記錄功能
[WAF.12] AWS WAF 規則應該啟用量度 CloudWatch