美国国家标准与技术研究院 (NIST)

概览

600x400_NIST_Logo

美国国家标准与技术研究院 (NIST) 800-53 安全控制措施广泛适用于美国联邦信息系统。联邦信息系统通常必须经过正式的评估和授权流程,以确保充分保护信息和信息系统的机密性、完整性和可用性。

NIST 网络安全框架 (CSF) 已获得全球各个政府和各行各业的支持,将其作为建议所有组织(无论任何领域或任何规模)使用的基准。根据 Gartner 的调查,在 2015 年,约有 30% 的美国组织使用 CSF,预计到 2020 年这一比例将达到 50%。自 2016 财年起,联邦机构的《联邦信息安全现代化法案》(FISMA) 指标就一直围绕着 CSF 进行组织,现在,还要求各机构根据“网络安全行政命令”实施 CSF。

  • AWS 是否符合 NIST 800-53 框架?

    是的,AWS 云基础设施和服务由第三方针对 NIST 800-53(第 4 修订版)控制以及其他 FedRAMP 要求进行了测试,已通过验证。对于 AWS GovCloud(美国)区域和 AWS 美国东部/西部区域,AWS 已获得来自多个授权机构的 FedRAMP 操作授权 (ATO)。有关更多信息,请参阅 AWS FedRAMP 合规性页面,或下面的 FedRAMP Marketplace 页面:

  • 为了让我的 AWS 系统符合 NIST 框架的要求,我的客户需要承担哪些责任?

    虽然有一些控制措施源自于 AWS,不过许多控制措施源自于您(作为客户)与 AWS 之间的共同责任。在签署 NDA 的前提下,AWS 可以基于 NIST 800-53 Rev. 4 提供 AWS FedRAMP SSP 模板,其中预先填充了适用的 NIST 800-5 Rev. 4 低/中/高控制基准。控制责任如下:

    • 共同责任:您负责提供软件组件的安全和配置,AWS 为其基础设施提供安全。
    • 客户责任:您完全负责访客操作系统、已部署的应用程序以及选择网络资源(例如,防火墙)。更具体地说,您单独负责配置和管理云内部的安全性。
    • AWS 责任:AWS 管理云基础设施,包括网络、数据存储、系统资源、数据中心、物理安全、可靠性以及支持硬件和软件。在 AWS 系统上构建的应用程序会沿用 AWS 提供的功能和可配置选项。AWS 单独负责配置和管理云本身的安全性。

    在安全授权方面,为了符合 FedRAMP 的要求(基于 NIST 800-53 rev 4 低/中/高控制基准),需要 AWS 全面地实施 AWS 完全控制措施和共同控制措施,而您则需要实施客户完全控制措施和共同控制措施。AFedRAMP 认可的第三方评估组织 (3PAO) 已经评估并授权了由我们承担控制责任的 AWS 实施。对于由您负责的共同控制措施部分,以及与您在 AWS 基础设施上实施的应用程序相关的控制措施,必须由您在遵循 NIST 800-37 以及您的特定安全授权政策与过程的情况下单独评估和授权。

  • AWS 如何帮助我实现符合 NIST 框架的要求?

    AWS FedRAMP 合规性系统已获得授权,已满足 FedRAMP 安全控制措施 (NIST SP 800-53) 的要求,使用在安全 FedRAMP 存储库中发布的安全包所必需的 FedRAMP 模板,已由获得认可的独立第三方评估组织 (3PAO) 进行评估,并持续符合 FedRAMP 的连续监控要求。

    根据 AWS 责任共担模型,AWS 负责管理云本身的安全性,而您则负责云内部的安全性。为了支持您落实共同责任,AWS 创建了快速入门解决方案(由 AWS CloudFormation 提供支持),只需单击一下即可完成 AWS 云中的关键技术部署。每个快速入门会启动、配置和运行在 AWS 中部署工作负载所需的 AWS 计算、网络、存储和其他服务,可满足安全标准和框架(如 NIST 800-53)的合规性要求。

    AWS 快速入门包含全面的规则集,按照系统化的方式来强制执行,实现了安全基准的简化、自动化和实施。例如,AWS 云中面向符合 NIST 标准的保障框架的标准化架构快速入门包括 AWS CloudFormation 模板。这些模板可以与 AWS Service Catalog 集成来自动构建符合 NIST 800-53(第 4 修订版)和 NIST 800-171 规范的标准化基准架构工作负载。该快速入门还包括安全控制参考,其中论述了基准的安全控制架构决策、功能和配置。快速入门可用于支持您在 AWS 中的合规性工作,能够对您组织的 AWS 云安全与合规目标起到非常大的作用。

  • 如何使用 NIST CSF?

    无论您是公共部门组织还是商业部门组织,您都可以使用 《NIST 网络安全框架》(CSF) 白皮书来依据 NIST CSF 评估您的 AWS 环境,并改进您实施和运行的安全措施(责任共担模型中属于您的部分,也称为云内部的安全性)。为帮助您与 NIST CSF 保持一致,我们详细描述了 AWS 云服务以及相关客户和 AWS 责任。本白皮书还提供了第三方审核员的信件,证明 AWS 云服务符合 NIST CSF 风险管理实践(我们负责的责任共担模型部分,也称为云本身的安全性),支持组织以适当方式保护 AWS 中的数据。

    从联邦机构和州机构到受监管的实体,再到大型企业,各组织均可使用本白皮书作为实施 AWS 解决方案的指南,以便在 NIST CSF 中取得风险管理成果。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »