

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# NIST SP 800-171 Revisão 2 no CSPM do Security Hub
<a name="standards-reference-nist-800-171"></a>

O NIST Special Publication 800-171 Revisão 2 (NIST SP 800-171 Rev. 2) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade fornece os requisitos de segurança recomendados para proteger a confidencialidade de informações não classificadas controladas em sistemas e organizações que não fazem parte do governo federal dos EUA. *Informações não classificadas controladas*, também conhecidas como *CUI*, são informações sensíveis que não atendem aos critérios governamentais de classificação, mas devem ser protegidas. São informações que são consideradas sensíveis e são criadas ou possuídas pelo governo federal dos EUA ou por outras entidades em nome do governo federal dos EUA.

O NIST SP 800-171 Rev. 2 fornece os requisitos de segurança recomendados para proteger a confidencialidade da CUI quando:
+ As informações residem em sistemas e organizações não federais,
+ A organização não federal não está coletando ou mantendo informações em nome de uma agência federal ou usando ou operando um sistema em nome de uma agência, e 
+ Não há requisitos de proteção específicos para proteger a confidencialidade da CUI prescritos pela lei, regulamentação ou política governamental autorizadora para a categoria de CUI listada no Registro de CUI. 

Os requisitos se aplicam a todos os componentes de sistemas e organizações não federais que processam, armazenam ou transmitem CUI ou fornecem proteção de segurança para os componentes. Para obter mais informações sobre o [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final), consulte o *Centro de Recursos de Segurança da Informática do NIS*.

AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-171 Revisão 2. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-171 Revisão 2 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-171 Revisão 2 que exigem verificações manuais.

**Topics**
+ [Configuração do registro de recursos para o padrão](#standards-reference-nist-800-171-recording)
+ [Determinação de quais controles se aplicam ao padrão](#standards-reference-nist-800-171-controls)

## Configuração do registro de recursos para controles que se aplicam ao padrão
<a name="standards-reference-nist-800-171-recording"></a>

Para otimizar a cobertura e a precisão das descobertas, é importante habilitar e configurar o registro de recursos AWS Config antes de habilitar o padrão NIST SP 800-171 Revisão 2 no Security Hub AWS CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão.

Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md) Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como [trabalhar com o gravador de configuração](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no Guia do *AWS Config desenvolvedor*.

A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-171 Revisão 2 no CSPM do Security Hub.


| AWS service (Serviço da AWS) | Resource types | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notiﬁcation Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinação de quais controles se aplicam ao padrão
<a name="standards-reference-nist-800-171-controls"></a>

A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-171 Revisão 2 e se aplicam ao padrão NIST SP 800-171 Revisão 2 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo **Requisitos relacionados** nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
+ [[ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado](acm-controls.md#acm-1)
+ [[APIGateway.2] Os estágios da API Gateway REST da API devem ser configurados para usar certificados SSL para autenticação de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas](ec2-controls.md#ec2-16)
+ [[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas](ec2-controls.md#ec2-18)
+ [[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco](ec2-controls.md#ec2-19)
+ [[EC2.20] Ambos os túneis VPN de uma AWS Site-to-Site conexão VPN devem estar ativos](ec2-controls.md#ec2-20)
+ [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado](ec2-controls.md#ec2-51)
+ [[ELB.2] Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo AWS Certificate Manager](elb-controls.md#elb-2)
+ [Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty deve ser ativado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\*"](iam-controls.md#iam-1)
+ [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
+ [[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-7)
+ [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
+ [[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes](iam-controls.md#iam-10)
+ [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
+ [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
+ [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
+ [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
+ [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
+ [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
+ [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM](iam-controls.md#iam-19)
+ [[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.](iam-controls.md#iam-21)
+ [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
+ [[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS](s3-controls.md#s3-6)
+ [[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado](s3-controls.md#s3-9)
+ [[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas](s3-controls.md#s3-11)
+ [[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado](s3-controls.md#s3-14)
+ [[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS](sns-controls.md#sns-1)
+ [[PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch](ssm-controls.md#ssm-2)
+ [As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch](waf-controls.md#waf-12)