本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
NIST SP 800-53 修訂版 5 是由國家標準技術研究所 (NIST) 所開發的網路安全和合規架構,NIST 是隸屬於美國商務部的機構。此合規架構可協助您保護資訊系統和關鍵資源的可用性、機密性和完整性。美國聯邦政府機構和承包商必須遵守 NIST SP 800-53 以保護其系統,但私有公司可能會自願使用它做為降低網路安全風險的引導架構。
Security Hub 提供支援特定 NIST SP 800-53 需求的控制項。這些控制項是透過自動化安全檢查進行評估。Security Hub 控制項不支援需要手動檢查的 NIST SP 800-53 需求。此外,Security Hub 控制僅支援自動化 NIST SP 800-53 要求,這些要求在每個控制項的詳細資訊中列為相關要求。從下列清單中選擇控制項,以查看其詳細資訊。Security Hub 目前不支援控制項詳細資訊中未提及的相關需求。
與其他架構不同,NIST SP 800-53 並不規範應如何評估其需求。相反地,架構提供指導方針,而 Security Hub NIST SP 800-53 控制項代表服務對這些原則的理解。
如果您使用 Security Hub 與 整合 AWS Organizations 來集中管理多個帳戶,而且想要批次啟用所有帳戶的 NIST SP 800-53,您可以從管理員帳戶執行 Security Hub 多帳戶指令碼
如需 NIST SP 800-53 修訂版 5 的詳細資訊,請參閱 NIST 電腦安全資源中心
適用於 NIST SP 800-53 修訂版 5 的控制項
【Account.1】 應提供 的安全聯絡資訊 AWS 帳戶
【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分
【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約
【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄
【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證
【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤
【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯
【APIGateway.5] API Gateway REST API 快取資料應靜態加密
【APIGateway.8] API Gateway 路由應指定授權類型
【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄
【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證
【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查
【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域
【AutoScaling.3] Auto Scaling 群組啟動組態應設定 EC2 執行個體,以要求執行個體中繼資料服務第 2 版 (IMDSv2)
【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址
【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型
【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本
【Backup.1】 AWS Backup 復原點應靜態加密
【CloudFront.1] CloudFront 分佈應設定預設根物件
【CloudFront.3] CloudFront 分佈應要求傳輸中加密
【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉
【CloudFront.5] CloudFront 分佈應該已啟用記錄
【CloudFront.6] CloudFront 分佈應該啟用 WAF
【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證
【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求
【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器
【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已棄用 SSL 通訊協定
【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器
【CloudTrail.1] 應該啟用 CloudTrail,並設定至少一個包含讀取和寫入管理事件的多區域追蹤
[CloudTrail.2] CloudTrail 應啟用靜態加密
【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證
【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合
【CloudWatch.15] CloudWatch 警示應已設定指定的動作
【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間
【CloudWatch.17] 應啟用 CloudWatch 警示動作
【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感憑證
【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料
【CodeBuild.3] CodeBuild S3 日誌應加密
【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 uration
【Config.1】 AWS Config 應啟用,並使用服務連結角色進行資源記錄
【DataFirehose.1] Firehose 交付串流應靜態加密
【DMS.1】 Database Migration Service 複寫執行個體不應為公有
【DMS.6】 DMS 複寫執行個體應該啟用自動次要版本升級
【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄
【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄
【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權
【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制
【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS
【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密
【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期
【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開
【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs
【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護
【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量
【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原
【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密
【DynamoDB.4] DynamoDB 資料表應存在於備份計劃中
【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護
【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密
【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密
【EC2.4】 在指定時段之後,應移除已停止的 EC2 執行個體
【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄
【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)
【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址
【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點
【EC2.12】 應移除未使用的 Amazon EC2 EIPs
【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22
【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址
【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs
【EC2.18】 安全群組應僅允許授權連接埠的無限制傳入流量
【EC2.20】 用於 a AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動
【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389
【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求
【EC2.24】 不應使用 Amazon EC2 虛擬執行個體類型
【EC2.25】 Amazon EC2 啟動範本不應將公有 IPs指派給網路介面
【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄
【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定
【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定
【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定
【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定
【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定
【ECR.5】 ECR 儲存庫應使用客戶受管加密 AWS KMS keys
【ECS.1】 Amazon ECS 任務定義應具有安全聯網模式和使用者定義。
【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址
【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行
【ECS.12】 ECS 叢集應使用 Container Insights
【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS
【EFS.2】 Amazon EFS 磁碟區應處於備份計劃中
【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行
【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密
【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份
【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級
【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉
【ElastiCache.4] ElastiCache 複寫群組應靜態加密
【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密
【ElastiCache.6] 較早版本的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH
【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組
【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告
【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新
【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS
【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager
【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定
【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭
【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄
【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護
【ELB.7】 Classic Load Balancer 應啟用連線耗盡
【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應該使用具有強烈追趕的預先定義安全政策
【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡
【ELB.10】 Classic Load Balancer 應跨越多個可用區域
【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域
【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
【ELB.16】 Application Load Balancer 應與 AWS WAF Web ACL 建立關聯
【ELB.17】 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策
【EMR.1】 Amazon EMR 叢集主要節點不應具有公有 IP 地址
【EMR.2】 應啟用 Amazon EMR 區塊公開存取設定
【EMR.4】 Amazon EMR 安全組態應在傳輸中加密
【ES.1】 Elasticsearch 網域應該啟用靜態加密
【ES.2】 不應公開存取 Elasticsearch 網域
【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料
【ES.4】 應啟用 Elasticsearch 網域錯誤記錄至 CloudWatch Logs
【ES.5】 Elasticsearch 網域應該啟用稽核記錄
【ES.6】 Elasticsearch 網域應至少具有三個資料節點
【ES.7】 Elasticsearch 網域應至少設定三個專用主節點
【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線
【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策
【EventBridge.4] EventBridge 全域端點應該啟用事件複寫
【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區
【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份
【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue
【IAM.1】 IAM 政策不應允許完整的 "*" 管理權限
【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次
[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA
【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作
【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作
【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰進行解密動作的 IAM 內嵌政策
【Lambda.2】 Lambda 函數應使用支援的執行時間
【Lambda.3】 Lambda 函數應該位於 VPC 中
【Lambda.5】 VPC Lambda 函數應該在多個可用區域中運作
【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch
【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級
【MQ.5】 ActiveMQ 代理程式應使用作用中/待命部署模式
【Neptune.1】 Neptune 資料庫叢集應靜態加密
【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
【Neptune.3】 Neptune 資料庫叢集快照不應公開
【Neptune.4】 Neptune 資料庫叢集應該啟用刪除保護
【Neptune.5】 Neptune 資料庫叢集應該已啟用自動備份
【Neptune.6】 Neptune 資料庫叢集快照應靜態加密
【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證
【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照
【Neptune.9】 Neptune 資料庫叢集應部署在多個可用區域
【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域
【NetworkFirewall.2] 應啟用網路防火牆記錄
【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組
【NetworkFirewall.4] 網路防火牆政策的預設無狀態動作應為捨棄或轉送完整封包
【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包
【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空
【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護
【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護
【Opensearch.1】 OpenSearch 網域應該啟用靜態加密
【Opensearch.2】 不應公開存取 OpenSearch 網域
【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料
【Opensearch.4】 應啟用記錄至 CloudWatch Logs 的 OpenSearch 網域錯誤
【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄
【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點
【Opensearch.7】 OpenSearch 網域應啟用精細存取控制
【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線
【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新
【Opensearch.11】 OpenSearch 網域應至少具有三個專用主節點
【PCA.1】應停用 AWS Private CA 根憑證授權機構
【RDS.2】 RDS 資料庫執行個體應禁止公開存取,如 PubliclyAccessible 組態所決定
【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs
【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證
【RDS.14】 Amazon Aurora 叢集應該已啟用恢復
【RDS.16】 RDS 資料庫叢集應設定為將標籤複製到快照
【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照
【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱
【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱
【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱
【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱
【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠
【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱
【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱
【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級
【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs
【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密
【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照
【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄
【Redshift.6】 Amazon Redshift 應該已啟用主要版本的自動升級
【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由
【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱
【Redshift.9】 Redshift 叢集不應使用預設資料庫名稱
【Redshift.10】 應靜態加密 Redshift 叢集
【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢
【S3.5】 S3 一般用途儲存貯體應要求 請求才能使用 SSL
【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶
【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態
【S3.12】 ACLs 來管理使用者對 S3 一般用途儲存貯體的存取
【S3.17】 S3 一般用途儲存貯體應該使用 靜態加密 AWS KMS keys
【SageMaker.1] Amazon SageMaker AI 筆記本執行個體不應具有直接網際網路存取
【SageMaker.2] SageMaker AI 筆記本執行個體應該在自訂 VPC 中啟動
【SageMaker.3] 使用者不應擁有 SageMaker AI 筆記本執行個體的根存取權
【SageMaker.4] SageMaker AI 端點生產變體的初始執行個體計數應大於 1
【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換
【SecretsManager.2] 設定為自動輪換的 Secrets Manager 秘密應能成功輪換
【SecretsManager.3] 移除未使用的 Secrets Manager 秘密
【SecretsManager.4] Secrets Manager 秘密應該在指定的天數內輪換
【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用
【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS
【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager
【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線
【Transfer.3】 Transfer Family 連接器應該已啟用記錄
【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄
【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件
【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則
【WAF.4】 AWS WAF 傳統區域 Web ACLs應至少有一個規則或規則群組
【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件
【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則
【WAF.8】 AWS WAF 傳統全域 Web ACLs應至少有一個規則或規則群組
【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組
【WAF.11】應該啟用 AWS WAF Web ACL 記錄
【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標
