Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub
La Publicación Especial 800-171 Revisión 2 del NIST (NIST SP 800-171 Rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento establece requisitos de seguridad recomendados para proteger la confidencialidad de la información controlada no clasificada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. La información controlada no clasificada (CUI) es información confidencial que no cumple los criterios del Gobierno para clasificarse, pero que igualmente se debe proteger. Se trata información considerada confidencial que es creada o mantenida por el Gobierno federal de los Estados Unidos o por entidades que actúan en su nombre.
NIST SP 800-171 Revisión 2 define requisitos de seguridad recomendados para proteger la confidencialidad de la CUI cuando:
-
La información se aloja en sistemas u organizaciones que no pertenecen al Gobierno federal;
-
La organización no federal no recopila ni mantiene la información en nombre de una agencia federal, ni utiliza u opera un sistema en nombre de dicha agencia; y
-
No existen requisitos de protección específicos establecidos por la ley habilitante, la normativa o una política federal aplicable a la categoría de CUI correspondiente, según figura en el Registro de CUI.
Los requisitos se aplican a todos los componentes de sistemas y organizaciones no federales que tratan, almacenan o transmiten CUI, o que proporcionan protección de seguridad para dichos componentes. Para obtener más información, consulte NIST SP 800-171 Revisión 2
El CSPM de AWS Security Hub proporciona controles de seguridad que admiten un subconjunto de los requisitos de NIST SP 800-171 Revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos y Servicios de AWS. Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revisión 2 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-171 Revisión 2 que requieren comprobaciones manuales.
Temas
Configuración del registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los resultados, es importante habilitar y configurar el registro de recursos en AWS Config antes de habilitar el estándar NIST SP 800-171 Revisión 2 en el CSPM de AWS Security Hub. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos de AWS que los controles aplicables al estándar verifican. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar.
Para obtener información sobre cómo el CSPM de Security Hub utiliza el registro de recursos en AWS Config, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub. Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte Uso del registrador de configuración en la Guía para desarrolladores de AWS Config.
La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de Security Hub.
| Servicio de AWS | Tipos de recurso |
|---|---|
| AWS Certificate Manager (ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager (SSM) |
|
| AWS WAF |
|
Cómo determinar qué controles se aplican al estándar
La siguiente lista especifica los controles que cumplen los requisitos de NIST SP 800-171 Revisión 2 y que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de AWS Security Hub. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
-
[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados
-
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
-
[CloudTrail.3] Al menos un registro de seguimiento de CloudTrail debe habilitarse
-
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada
-
[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas
-
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
-
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo
-
[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
-
[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
-
[S3.17] Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
Los temas de SNS [SNS.1] deben cifrarse en reposo mediante AWS KMS
-
Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch
