สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)
ภาพรวม
/automating-security-best-practices-solution-icon%20(1).df6223b44fcba437b74f2170677baf86832ef22d.png)
โดยปกติการควบคุมความปลอดภัยมาตรฐาน 800-53 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) จะใช้กับระบบสารสนเทศของรัฐบาลกลางสหรัฐฯ โดยทั่วไประบบสารสนเทศของรัฐบาลกลางจะต้องผ่านการประเมินอย่างเป็นทางการและผ่านกระบวนการให้สิทธิ์อนุญาต เพื่อให้แน่ใจว่ามีการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลและระบบข้อมูลที่เพียงพอ
เฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST (CSF) ได้รับการสนับสนุนจากรัฐบาลและอุตสาหกรรมต่างๆ ทั่วโลกในฐานะที่เป็นบรรทัดฐานที่แนะนำสำหรับให้องค์กรต่างๆ นำไปใช้ ไม่ว่าจะเป็นภาคส่วนใดหรือมีขนาดเท่าใด จากข้อมูลของ Gartner ในปี 2015 องค์กรในสหรัฐฯ ประมาณ 30 เปอร์เซ็นต์ใช้ CSF และคาดว่าการใช้งานจะเพิ่มขึ้นเป็น 50 เปอร์เซ็นต์ในปี 2020 ตั้งแต่ปีงบประมาณ 2016 มีการนำตัววัด Federal Information Security Modernization Act (FISMA) ของรัฐบาลกลางมาใช้จัดการ CSF และขณะนี้หน่วยงานของรัฐบาลต้องใช้ CSF ภายใต้ Cybersecurity Executive Order
-
AWS ปฏิบัติตามข้อกำหนดของเฟรมเวิร์ก NIST 800-53 หรือไม่
ใช่ โครงสร้างพื้นฐานและบริการของ AWS Cloud ได้รับการตรวจสอบด้วยการทดสอบจากภายนอกโดยเปรียบเทียบกับการควบคุมมาตรฐาน NIST 800-53 Revision 4 รวมถึงข้อกำหนดของ FedRAMP อื่นๆ ด้วย AWS ได้รับ FedRAMP Authorizations to Operate (ATO) จากหน่วยงานที่ได้รับอนุญาตหลายแห่งสำหรับทั้ง AWS GovCloud (US) และ AWS US ภูมิภาคตะวันออก/ตะวันตก สำหรับข้อมูลเพิ่มเติม ดูที่เว็บเพจการปฏิบัติตามข้อกำหนดของ AWS FedRAMP หรือเว็บเพจ FedRAMP Marketplace ดังต่อไปนี้
-
ความรับผิดชอบต่อลูกค้าเพื่อให้ระบบ AWS เป็นไปตามเฟรมเวิร์ก NIST คืออะไร
ขณะที่การควบคุมบางส่วนได้รับมาจาก AWS การควบคุมส่วนใหญ่จะเป็นการรับช่วงร่วมกันระหว่างคุณในฐานะที่เป็นลูกค้ากับ AWS ความรับผิดชอบในการควบคุมมีดังต่อไปนี้
- ความรับผิดชอบร่วมกัน คือ คุณจะทำให้องค์ประกอบของซอฟต์แวร์มีความปลอดภัยและมีการกำหนดค่า ส่วน AWS จะมอบการรักษาความปลอดภัยในด้านโครงสร้างพื้นฐานของระบบ
- ความรับผิดชอบเฉพาะฝั่งลูกค้า คือ คุณจะมีหน้าที่รับผิดชอบต่อระบบปฏิบัติการเยือน การปรับใช้แอปพลิเคชัน และการเลือกทรัพยากรเครือข่าย (เช่น ไฟร์วอลล์) กล่าวโดยเจาะจง คุณจะมีหน้าที่รับผิดชอบต่อการกำหนดค่าและการจัดการความปลอดภัยในระบบคลาวด์ของคุณแต่เพียงผู้เดียว
- ความรับผิดชอบเฉพาะฝั่ง AWS คือ AWS จะจัดการโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งรวมถึงเครือข่าย การเก็บข้อมูล ทรัพยากรระบบ ศูนย์ข้อมูล ความปลอดภัยทางกายภาพ ความเชื่อถือได้ และการรองรับฮาร์ดแวร์กับซอฟต์แวร์ แอปพลิเคชันที่สร้างขึ้นเพิ่มเติมจากระบบของ AWS จะได้รับคุณสมบัติและตัวเลือกที่กำหนดค่าได้ที่ AWS มีให้บริการ AWS จะรับผิดชอบต่อการกำหนดค่าและการจัดการความปลอดภัยของระบบคลาวด์แต่เพียงผู้เดียว
สำหรับวัตถุประสงค์ด้านการให้สิทธิ์อนุญาตความปลอดภัย การปฏิบัติตามข้อกำหนดของ FedRAMP (อิงตามบรรทัดฐานการควบคุมระดับต่ำ/ปานกลาง/สูงของมาตรฐาน NIST 800-53 Rev 4) จะเป็นไปตามที่ AWS ใช้ความรับผิดชอบเฉพาะฝั่ง AWS และการควบคุมร่วมกันทั้งหมด และคุณใช้ความรับผิดชอบเฉพาะฝั่งลูกค้าและการควบคุมร่วมกันทั้งหมด องค์กรประเมินจากภายนอกที่ผ่านการรับรองจาก FedRAMP (3PAO) ได้ประเมินและอนุญาตการใช้ความรับผิดชอบในการควบคุมของ AWS แล้ว คุณต้องทำการประเมินและอนุญาตสัดส่วนของการควบคุมร่วมกันที่คุณรับผิดชอบ และการควบคุมที่เกี่ยวข้องกับแอปพลิเคชันที่คุณใช้นอกเหนือจากโครงสร้างพื้นฐานของ AWS แยกกันตามข้อตกลงมาตรฐาน NIST 800-37 รวมถึงนโยบายและขั้นตอนการอนุญาตเพื่อความปลอดภัยเฉพาะของคุณ
-
AWS จะช่วยให้ฉันปฏิบัติตามเฟรมเวิร์ก NIST ได้อย่างไร
ระบบที่สอดคล้องกับ FedRAMP ของ AWS ได้รับสิทธิ์อนุญาตแล้ว มีการจัดการควบคุมความปลอดภัยของ FedRAMP (NIST SP 800-53) ใช้เทมเพลตที่กำหนดโดย FedRAMP สำหรับแพ็กเกจความปลอดภัยบน FedRAMP Repository ที่ปลอดภัย ได้รับการประเมินโดยองค์กรประเมินจากภายนอกที่ผ่านการรับรอง (3PAO) รวมถึงมีการปฏิบัติตามข้อกำหนดในการตรวจสอบของ FedRAMP อย่างต่อเนื่อง
รูปแบบความรับผิดชอบร่วมกันของ AWS ระบุว่า AWS จะบริหารจัดการความปลอดภัยของระบบคลาวด์ ส่วนคุณมีหน้าที่รับผิดชอบต่อความปลอดภัยของคุณในระบบคลาวด์ เพื่อสนับสนุนการใช้งานความรับผิดชอบที่ใช้ร่วมกัน AWS ได้สร้างโซลูชัน ตัวเร่ง Landing Zone บน AWS (สนับสนุนโดย AWS CloudFormation) โซลูชันตัวเร่ง Landing Zone บน AWS ใช้พื้นฐานระบบคลาวด์ที่ได้รับการออกแบบเพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดของ AWS และเฟรมเวิร์กการปฏิบัติตามกฎระเบียบทั่วโลกหลายประการ รวมถึงเฟรมเวิร์กของ NIST ด้วยโซลูชันนี้ ลูกค้าที่มีเวิร์กโหลดที่มีการควบคุมสูงและข้อกำหนดด้านการปฏิบัติตามกฎระเบียบที่ซับซ้อนสามารถจัดการและควบคุมสภาพแวดล้อมแบบหลายบัญชีของตนได้ดียิ่งขึ้น เมื่อนำมาใช้งานร่วมกับบริการอื่นๆ ของ AWS จะมีโซลูชันการเขียนโค้ดน้อยที่ครอบคลุมทั่วทั้งบริการ AWS มากกว่า 35 บริการ โซลูชันตัวเร่ง Landing Zone บน AWS ช่วยให้คุณปรับใช้พื้นฐานระบบคลาวด์ที่ปลอดภัย ยืดหยุ่น ปรับขนาดได้ และทำงานอัตโนมัติได้อย่างเต็มที่ ซึ่งช่วยเร่งความพร้อมของคุณสำหรับโปรแกรมการปฏิบัติตามกฎระเบียบระบบคลาวด์ของคุณ หมายเหตุ: ตัวโซลูชันนี้จะไม่ทำให้คุณปฏิบัติตามข้อกำหนดได้เอง แต่จะมีโครงสร้างพื้นฐานจากการที่โซลูชันเสริมเพิ่มเติมสามารถผสานรวมได้
-
ฉันควรใช้งาน NIST CSF อย่างไร
ไม่ว่าคุณจะเป็นองค์กรภาครัฐหรือพาณิชย์ คุณสามารถใช้รายงานของเฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST (CSF) เพื่อประเมินสภาพแวดล้อมของ AWS โดยเปรียบเทียบกับ NIST CSF และปรับปรุงการวัดประสิทธิภาพความปลอดภัยที่คุณใช้และนำไปปฏิบัติ (ส่วนของคุณในโมเดลความรับผิดชอบร่วมกัน หรือที่เรียกว่าความปลอดภัยในระบบคลาวด์) เพื่ออำนวยความสะดวกให้แก่คุณในการปฏิบัติตาม NIST CSF เรามีคำอธิบายโดยละเอียดของ AWS Cloud services และลูกค้าที่เกี่ยวข้องกับความรับผิดชอบของ AWS รายงานนี้ยังมีหนังสือจากผู้ตรวจสอบภายนอกที่ยืนยันความสอดคล้องกันของ AWS Cloud services กับแนวทางปฏิบัติด้านการจัดการความเสี่ยงใน NIST CSF (ส่วนของเราในโมเดลความรับผิดชอบร่วมกัน หรือที่เรียกว่าความปลอดภัยของระบบคลาวด์) ซึ่งช่วยให้องค์กรปกป้องข้อมูลของตนใน AWS ได้อย่างเหมาะสม
องค์กรต่างๆ รวมถึงหน่วยงานภาครัฐ หน่วยงานที่มีการกำกับดูแล และบริษัทขนาดใหญ่สามารถใช้รายงานนี้เป็นคู่มือสำหรับการนำ AWS Solutions ไปใช้เพื่อให้ได้ผลลัพธ์ด้านการจัดการความเสี่ยงใน NIST CSF ที่ประสบความสำเร็จ
