美国国家标准与技术研究院 (NIST)
概述
美国国家标准与技术研究院 (NIST) 800-53 安全控制广泛适用于美国联邦信息系统。联邦信息系统通常必须经过正式的评估和授权流程,以确保充分保护信息和信息系统的机密性、完整性和可用性。
NIST 网络安全框架 (CSF) 已获得全球各个政府和各行各业的支持,将其作为建议所有组织(无论任何领域或任何规模)使用的基准。根据 Gartner 的调查,在 2015 年,约有 30% 的美国组织使用 CSF,预计到 2020 年这一比例将达到 50%。自 2016 财年起,联邦机构的《联邦信息安全现代化法案》(FISMA)指标就一直围绕着 CSF 进行组织,现在,还要求各机构根据“网络安全行政命令”实施 CSF。
常见问题
-
AWS 是否符合 NIST 800-53 框架要求?
符合。AWS 云基础设施和服务由第三方针对 NIST 800-53(第 4 修订版)控制以及其他 FedRAMP 要求进行了测试,已通过验证。对于 AWS GovCloud(美国)和 AWS 美国东部/西部区域,AWS 已获得来自多个授权机构的 FedRAMP 操作授权 (ATO)。有关更多信息,请参阅 AWS FedRAMP 合规性网页或下面的 FedRAMP Marketplace 网页:
-
为了让我的 AWS 系统符合 NIST 框架的要求,我的客户需要承担哪些责任?
虽然有一些控制措施源自于 AWS,不过许多控制措施源自于您(作为客户)与 AWS 之间的共同责任。控制责任如下:
- 共同责任:您负责提供软件组件的安全和配置,AWS 为其基础设施提供安全。
- 客户责任:您完全负责访客操作系统、已部署的应用程序以及选择网络资源(例如,防火墙)。更具体地说,您单独负责配置和管理云中 的安全性。
- AWS 责任:AWS 管理云基础设施,包括网络、数据存储、系统资源、数据中心、物理安全、可靠性以及支持硬件和软件。在 AWS 系统上构建的应用程序会沿用 AWS 提供的功能和可配置选项。AWS 单独负责配置和管理云的安全性。
在安全授权方面,为了符合 FedRAMP 的要求(基于 NIST 800-53 rev 4 低/中/高控制基准),需要 AWS 全面地实施 AWS 完全控制措施和共同控制措施,而您则需要实施客户完全控制措施和共同控制措施。FedRAMP 认可的第三方评估组织 (3PAO) 已经评估并授权了由我们承担控制责任的 AWS 实施。对于由您负责的共同控制措施部分,以及与您在 AWS 基础设施上实施的应用程序相关的控制措施,必须由您在遵循 NIST 800-37 以及您的特定安全授权政策与过程的情况下单独评估和授权。
-
AWS 如何帮助我实现符合 NIST 框架的要求?
AWS FedRAMP 合规性系统已获得授权,已满足 FedRAMP 安全控制措施 (NIST SP 800-53) 的要求,使用在安全 FedRAMP 存储库中发布的安全包所必需的 FedRAMP 模板,已由获得认可的独立第三方评估组织 (3PAO) 进行评估,并持续符合 FedRAMP 的连续监控要求。
根据 AWS 责任共担模式,AWS 负责管理云的安全性,而您负责云中 的安全性。为了支持您履行共同的自认,AWS 创建了 AWS 登录区加速器解决方案(由 AWS CloudFormation 提供支持)。AWS 登录区加速器解决方案部署了一个云基础,其架构与 AWS 最佳实践以及多个全球合规性框架(包括基于 NIST 的框架)相一致。借助此解决方案,具有高度管控工作负载和复杂合规性要求的客户可以更好地管理和治理其多账户环境。与其他 AWS 服务配合使用时,它可以在超过 35 种 AWS 服务中提供全面的低代码解决方案。AWS 登录区加速器解决方案可以帮助您快速部署安全、灵活、可扩展且完全自动化的云基础,加快云合规性计划的准备工作。注意:此解决方案本身不会使您符合要求。它提供基本基础设施,其他补充解决方案可以集成在其中。
-
如何使用 NIST CSF?
无论您是公共部门组织还是商业部门组织,都可以使用《NIST 网络安全框架 (CSF)》白皮书来依据 NIST CSF 评估您的 AWS 环境,并改进您实施和运行的安全措施(责任共担模型中属于您的部分,也称为云内部 的安全性)。为帮助您与 NIST CSF 保持一致,我们详细描述了 AWS 云服务以及相关客户和 AWS 责任。本白皮书还提供了第三方审核员的信件,证明 AWS 云服务符合 NIST CSF 风险管理实践(我们负责的责任共担模型部分,也称为云本身 的安全性),支持组织以适当方式保护 AWS 中的数据。
从联邦机构和州机构到受监管的实体,再到大型企业,各组织均可使用本白皮书作为实施 AWS 解决方案的指南,以便在 NIST CSF 中取得风险管理成果。