Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# NIST SP 800-171 Revisi 2 di Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) adalah kerangka kerja keamanan siber dan kepatuhan yang dikembangkan oleh National Institute of Standards and Technology (NIST), sebuah lembaga yang merupakan bagian dari Departemen Perdagangan AS. Kerangka kepatuhan ini memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan Informasi Tidak Diklasifikasikan Terkendali dalam sistem dan organisasi yang bukan bagian dari pemerintah federal AS. *Controlled Unclassified Information*, juga disebut *CUI*, adalah informasi sensitif yang tidak memenuhi kriteria pemerintah untuk klasifikasi tetapi harus dilindungi. Ini adalah informasi yang dianggap sensitif dan dibuat atau dimiliki oleh pemerintah federal AS atau entitas lain atas nama pemerintah federal AS.

NIST SP 800-171 Rev. 2 memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan CUI ketika:
+ Informasi berada dalam sistem dan organisasi non-federal,
+ Organisasi non-federal tidak mengumpulkan atau memelihara informasi atas nama agen federal atau menggunakan atau mengoperasikan sistem atas nama agen, dan 
+ Tidak ada persyaratan pengamanan khusus untuk melindungi kerahasiaan CUI yang ditentukan oleh undang-undang otorisasi, peraturan, atau kebijakan pemerintah untuk kategori CUI yang tercantum dalam Registri CUI. 

Persyaratan berlaku untuk semua komponen sistem dan organisasi non-federal yang memproses, menyimpan, atau mengirimkan CUI, atau memberikan perlindungan keamanan untuk komponen. Untuk informasi lebih lanjut, lihat [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) di Pusat Sumber Daya Keamanan Komputer *NIST*.

AWS Security Hub CSPM menyediakan kontrol keamanan yang mendukung subset persyaratan NIST SP 800-171 Revisi 2. Kontrol melakukan pemeriksaan keamanan otomatis untuk sumber daya tertentu Layanan AWS dan. Untuk mengaktifkan dan mengelola kontrol ini, Anda dapat mengaktifkan kerangka kerja NIST SP 800-171 Revisi 2 sebagai standar di Security Hub CSPM. Perhatikan bahwa kontrol tidak mendukung persyaratan NIST SP 800-171 Revisi 2 yang memerlukan pemeriksaan manual.

**Topics**
+ [Mengkonfigurasi perekaman sumber daya untuk standar](#standards-reference-nist-800-171-recording)
+ [Menentukan kontrol mana yang berlaku untuk standar](#standards-reference-nist-800-171-controls)

## Mengkonfigurasi perekaman sumber daya untuk kontrol yang berlaku untuk standar
<a name="standards-reference-nist-800-171-recording"></a>

Untuk mengoptimalkan cakupan dan keakuratan temuan, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar NIST SP 800-171 Revisi 2 di CSPM Security Hub. AWS Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar.

Untuk informasi tentang cara Security Hub CSPM menggunakan rekaman sumber daya AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi tentang mengonfigurasi perekaman sumber daya AWS Config, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Tabel berikut menentukan jenis sumber daya untuk merekam kontrol yang berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM.


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Awan Komputasi Elastis Amazon (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Layanan Penyimpanan Sederhana Amazon (Amazon S3) | `AWS::S3::Bucket` | 
| Layanan Pemberitahuan Sederhana Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Menentukan kontrol mana yang berlaku untuk standar
<a name="standards-reference-nist-800-171-controls"></a>

Daftar berikut menentukan kontrol yang mendukung persyaratan NIST SP 800-171 Revisi 2 dan berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM. AWS Untuk detail tentang persyaratan spesifik yang didukung kontrol, pilih kontrol. Kemudian lihat bidang **Persyaratan terkait** di detail untuk kontrol. Bidang ini menentukan setiap persyaratan NIST yang didukung kontrol. Jika bidang tidak menentukan persyaratan NIST tertentu, kontrol tidak mendukung persyaratan.
+ [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)
+ [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16)
+ [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18)
+ [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19)
+ [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20)
+ [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\*” penuh](iam-controls.md#iam-1)
+ [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)
+ [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)
+ [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)
+ [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)
+ [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)
+ [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)
+ [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)
+ [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)
+ [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)
+ [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)
+ [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)
+ [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)
+ [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21)
+ [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)
+ [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)
+ [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)
+ [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)
+ [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14)
+ [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)
+ [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12)