本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub CSPM 中的 NIST SP 800-171 修訂版 2
NIST 特別出版物 800-171 修訂版 2 (NIST SP 800-171 修訂版 2) 是由國家標準技術研究所 (NIST) 所開發的網路安全和合規架構,該機構是美國商務部的一部分。此合規架構提供建議的安全要求,以保護不屬於美國聯邦政府的系統和組織中受控未分類資訊的機密性。*受控未分類資訊*也稱為 *CUI*,是不符合政府分類標準的敏感資訊,但必須受到保護。這是被視為敏感的資訊,由美國聯邦政府或代表美國聯邦政府的其他實體建立或擁有。
NIST SP 800-171 修訂版 2 在以下情況提供保護 CUI 機密性的建議安全要求:
+ 資訊位於非聯合系統和組織中,
+ 非聯合組織不會代表聯邦機構收集或維護資訊,也不會代表機構使用或操作系統,以及
+ 對於 CUI 登錄檔中列出的 CUI 類別,對於授權法律、法規或全政府政策所規定的 CUI 機密性,沒有特定的保護要求。
這些要求適用於處理、存放或傳輸 CUI 或為元件提供安全保護的非聯合系統和組織的所有元件。如需詳細資訊,請參閱 [NIST 電腦安全資源中心的 NIST SP 800-171 修訂版 2。](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) **
AWS Security Hub CSPM 提供安全控制,支援 NIST SP 800-171 修訂版 2 要求的子集。這些控制項會針對特定 AWS 服務 和 資源執行自動安全檢查。若要啟用和管理這些控制項,您可以在 Security Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 架構作為標準。請注意,控制項不支援需要手動檢查的 NIST SP 800-171 修訂版 2 要求。
**Topics**
+ [設定 標準的資源記錄](#standards-reference-nist-800-171-recording)
+ [判斷哪些控制項適用於標準](#standards-reference-nist-800-171-controls)
## 設定適用於標準之控制項的資源記錄
若要最佳化涵蓋範圍和調查結果的準確性,請務必在 AWS Security Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 標準 AWS Config 之前,先在 中啟用和設定資源記錄。當您設定資源記錄時,也請務必針對套用標準之控制項檢查的所有 AWS 資源類型啟用它。否則,Security Hub CSPM 可能無法評估適當的資源,並為適用於標準的控制項產生準確的調查結果。
如需 Security Hub CSPM 如何在 中使用資源錄製的資訊 AWS Config,請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需在 中設定資源錄製的資訊 AWS Config,請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
下表指定適用於 Security Hub CSPM 中 NIST SP 800-171 修訂版 2 標準之控制項要記錄的資源類型。
| AWS 服務 | 資源類型 |
| --- | --- |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## 判斷哪些控制項適用於標準
以下清單指定支援 NIST SP 800-171 修訂版 2 要求的控制項,並適用於 AWS Security Hub CSPM 中的 NIST SP 800-171 修訂版 2 標準。如需控制項支援的特定需求的詳細資訊,請選擇控制項。然後,請參閱控制項詳細資訊中的**相關需求**欄位。此欄位指定控制項支援的每個 NIST 需求。如果 欄位未指定特定的 NIST 需求,則控制項不支援該需求。
+ [【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)
+ [【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2)
+ [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
+ [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
+ [【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3)
+ [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
+ [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
+ [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)
+ [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
+ [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
+ [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
+ [【CloudWatch.7] 確保日誌指標篩選條件和警示存在,以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
+ [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
+ [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
+ [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
+ [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
+ [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
+ [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
+ [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)
+ [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15)
+ [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
+ [【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10)
+ [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13)
+ [【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16)
+ [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18)
+ [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19)
+ [【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20)
+ [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
+ [【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51)
+ [【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2)
+ [【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3)
+ [【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策,該政策具有強烈驅動](elb-controls.md#elb-8)
+ [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1)
+ [【IAM.1】 IAM 政策不應允許完整的「\*」管理權限](iam-controls.md#iam-1)
+ [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
+ [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
+ [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
+ [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10)
+ [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)
+ [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)
+ [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)
+ [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)
+ [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
+ [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
+ [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
+ [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)
+ [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
+ [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
+ [【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2)
+ [【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3)
+ [【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5)
+ [【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6)
+ [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
+ [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)
+ [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)
+ [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11)
+ [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)
+ [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)
+ [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1)
+ [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2)
+ [【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12)