Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub - AWS Security Hub
Configuración del registro de recursos para el estándarCómo determinar qué controles se aplican al estándar

Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub

La Publicación Especial 800-53 Revisión 5 del NIST (NIST SP 800-53 Rev. 5) es un marco de ciberseguridad y cumplimiento normativo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias y contratistas del gobierno federal de los Estados Unidos deben cumplir estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte NIST SP 800-53 Rev. 5 en el Centro de Recursos de Seguridad Informática de NIST.

El CSPM de AWS Security Hub proporciona controles de seguridad que admiten un subconjunto de los requisitos de NIST SP 800-53 Revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos y Servicios de AWS. Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.

A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.

Configuración del registro de recursos para los controles que se aplican al estándar

Para optimizar la cobertura y la precisión de los resultados, es importante habilitar y configurar el registro de recursos en AWS Config antes de habilitar el estándar NIST SP 800-53 Revisión 5 en el CSPM de AWS Security Hub. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos de AWS que los controles aplicables al estándar verifican. Esto se aplica principalmente a los controles que tienen un tipo de programación activado por cambios. Sin embargo, algunos controles con un tipo de programación periódica también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.

Para obtener información sobre cómo el CSPM de Security Hub utiliza el registro de recursos en AWS Config, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub. Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte Uso del registrador de configuración en la Guía para desarrolladores de AWS Config.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.

Servicio de AWS Tipos de recurso

Amazon API Gateway

AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

AWS Backup

AWS::Backup::RecoveryPoint

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service (AWS DMS)

AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud (Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon Elastic Kubernetes Service (Amazon EKS)

AWS::EKS::Cluster

AWS Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon ElasticSearch

AWS::Elasticsearch::Domain

Amazon EMR

AWS::EMR::SecurityConfiguration

Amazon EventBridge

AWS::Events::Endpoint, AWS::Events::EventBus

AWS Glue

AWS::Glue::Job

AWS Identity and Access Management (IAM)

AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Alias, AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon Managed Streaming for Apache Kafka (Amazon MSK)

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

AWS Network Firewall

AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service (Amazon S3)

AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket

AWS Service Catalog

AWS::ServiceCatalog::Portfolio

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance

Amazon SageMaker AI

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS Transfer Family

AWS::Transfer::Connector

AWS WAF

AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

Cómo determinar qué controles se aplican al estándar

La siguiente lista especifica los controles que cumplen los requisitos de NIST SP 800-53 Revisión 5 y que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de AWS Security Hub. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.