我想了解有关 NIST 的信息
Security By Design

美国国家标准与技术研究院 (NIST) 800-53 安全控制广泛适用于联邦信息系统。这些典型系统必须经过正式评估和授权流程,确保根据系统的安全类别和影响级别(低、中或高)和风险确认,为信息和信息系统提供充分的机密性、完整性和可用性保护。

美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 已获得全球各个政府和各行各业的支持,将其作为建议所有组织 (无论任何领域或任何规模) 使用的基准。根据 Gartner 的调查,约有 30% 的美国组织在使用 CSF,预计到 2020 年这一比例将达到 50%。自 2016 财年起,联邦机构的“联邦信息安全现代化法案”(FISMA) 指标就一直围绕着 CSF 进行组织,现在,还要求各机构根据“网络安全行政命令”实施 CSF。


AWS 的 NIST 兼容云基础设施服务由第三方针对 NIST 800-53 Rev. 4 控制以及 FedRAMP 要求进行了测试,已通过验证。对于 AWS GovCloud(美国)区域和 AWS 美国东部/西部区域,AWS 已获得来自多个授权机构的 FedRAMP 代理机构操作授权书 (ATO)。有关更多信息,请参阅以下链接:

•   有关 AWS 东部/西部区域的完整授权机构列表,请转至此处

•   有关 AWS GovCloud 区域的完整授权机构列表,请转至此处

•   有关高基准的 AWS GovCloud JAB P-ATO,请转至此处

有关 AWS FedRAMP 项目的更多信息,请访问我们的 FedRAMP 网页

虽然有一些控制专门源自于 AWS,不过许多控制源自于您与 AWS 之间的共同责任。在签署 NDA 的前提下,AWS 可以基于 NIST 800-53 Rev. 4 提供 AWS FedRAMP SSP 模板,其中预先填充了适用的 NIST 800-5 Rev. 4 低/中/高控制基准。控制责任如下:

• 共同责任:您负责提供软件组件的安全和配置,AWS 为其基础设施提供安全。

• 仅由客户负责:您完全负责来宾操作系统、已部署的应用程序以及自行选择网络资源(例如,防火墙)。更具体地说,您单独负责配置和管理云“内部”的安全性。

• 仅由 AWS 负责:AWS 管理云基础设施,包括网络、数据存储、系统资源、数据中心、物理安全、可靠性以及支持硬件和软件。在 AWS 系统上构建的应用程序会继承 AWS 提供的功能和可配置选项。AWS 单独负责配置和管理云“本身”的安全性。

在安全授权方面,为了符合 FedRAMP 的要求(基于 NIST 800-53 rev 4 低/中/高控制基准),需要 AWS 全面地实施 AWS 完全控制和共同控制,而您需要实施客户完全控制和共同控制。FedRAMP 认可的 3PAO(第三方评估组织)已对 AWS 的控制责任实施做出评估和授权。对于由您负责的共同控制部分,以及与您在 AWS 基础设施上实施的应用程序相关的控制,必须由您在遵循 NIST 800-37 以及客户特定安全授权政策与过程的情况下单独评估和授权。

AWS FedRAMP 合规性系统已获得授权,已满足 FedRAMP 安全控制 (NIST SP 800-53) 的要求,使用在安全 FedRAMP 存储库中发布的安全包所必需的 FedRAMP 模板,已由获得认可的独立第三方评估组织 (3PAO) 进行评估,并持续符合 FedRAMP 的连续监控要求。

根据 AWS 共同责任模型,AWS 负责管理云自身的安全性,而您负责云内部的安全性。为了支持您落实共同责任,AWS 快速入门(由 AWS CloudFormation 提供支持)提供了一键式部署方式来自动完成 AWS 云中的关键技术部署。每个快速入门会启动、配置和运行在 AWS 上部署工作负载所需的 AWS 计算、网络、存储和其他服务,可满足通用安全标准和框架(例如 PCI DSS 和 NIST 800-53)的合规性要求。

快速入门包含全面的规则集,按照系统化的方式来强制执行,实现了安全基准的简化、自动化和实施。例如,“AWS 云中面向符合 NIST 标准的保障框架的标准化架构:快速入门”包括 AWS CloudFormation 模板。这些模板可以与 AWS Service Catalog 集成来自动构建符合 NIST 800-53(第 4 版)和 NIST 800-171 规范的标准化基准架构工作负载。快速入门还包括安全控制参考,其中论述了基准的安全控制架构决策、功能和配置。这些内容可用于支持您在 AWS 中的合规性工作,能够对您组织的 AWS 云安全与合规目标起到非常大的作用。

公共部门和商业部门组织均可使用本白皮书来访问针对 NIST CSF 的 AWS 环境,并改善他们实施和运营的安全措施 (也称为云安全性)。我们提供详细的 AWS 云产品分类以及相关的客户职责和 AWS 职责,帮助您与 NIST CSF 保持一致。本白皮书还提供了第三方审计人员的信件,证明 AWS 云产品符合 NIST CSF 风险管理实践 (也称为云安全性),支持组织以适当方式保护 AWS 中的数据。

从联邦机构和州机构到受监管的实体,再到大型企业,各组织均可使用本白皮书作为实施 AWS 解决方案的指南,以便在 NIST CSF 中取得风险管理成果。


600x400_NIST_Logo

 

联系我们