Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)

Genel Bakış

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-53 güvenlik denetimleri genel olarak ABD Federal Bilgi Sistemlerine uygulanabilir. Normal olarak Federal Bilgi Sistemleri, bilgilerin ve bilgi sistemlerinin yeterli gizlilik, bütünlük ve kullanılabilirlik korumasına sahip olduğundan emin olmak için resmi bir değerlendirme ve yetkilendirme sürecinden geçmesi gerekir.

NIST Siber Güvenlik Çerçevesi (CSF), sektörü veya büyüklüğü ne olursa olsun tüm kuruluşlar tarafından kullanılması önerilen bir temel olarak dünya genelinde devletler ve endüstriler tarafından desteklenir. Gartner'a göre, 2015'te CSF ABD kuruluşlarının yaklaşık yüzde 30'u tarafından kullanılmıştır ve 2020'ye gelindiğinde kullanım oranının yüzde 50'ye ulaşması beklenmektedir. 2016 Mali Yılından başlayarak, federal kuruluşlara yönelik Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) ölçümleri CSF çerçevesinde düzenlenmiş ve kuruluşların artık Siber Güvenlik Kararnamesi kapsamında CSF'yi uygulaması zorunlu tutulmuştur.

• AWS NIST 800-53 çerçevesiyle uyumlu mudur?

  Evet, AWS Cloud altyapısı ve hizmetleri hem NIST 800-53 Düzeltme 4 denetimlerine hem de ek FedRAMP gereksinimlerine göre gerçekleştirilen üçüncü taraf testleriyle doğrulanmıştır. AWS, hem AWS GovCloud (ABD) hem de AWS ABD Doğu/Batı Bölgesi için birden çok yetkilendirme kuruluşundan FedRAMP Çalıştırma Yetkileri (ATO) almıştır. Daha fazla bilgi edinmek için, AWS FedRAMP uyumluluğu web sayfasına veya aşağıdaki FedRAMP Marketplace web sayfalarına bakın:
  

  • AWS Doğu/Batı Bölgesi yetkili kuruluşlarının tam listesi

  • AWS GovCloud (ABD) yetkili kuruluşlarının tam listesi

  • Yüksek temel düzeyinde AWS GovCloud JAB P-ATO

• Müşteri olarak AWS sistemlerimi NIST çerçevelerine uygun hale getirme konusunda benim sorumluluklarım nelerdir?

  Denetimlerinizden bazıları AWS'den devralınıyor olsa da birçok denetimin devri müşteri olarak sizinle AWS arasında paylaşılır. Denetim sorumluluğu şöyledir:

  • Paylaşılan Sorumluluk: Siz yazılım bileşenlerinizin güvenliğiyle yapılandırmalarını sağlarsınız ve AWS kendi altyapısının güvenliğini sağlar.
  • Yalnızca Müşterinin Sorumluluğu: Konuk işletim sistemleri, dağıtılan uygulamalar ve bazı ağ kaynakları (örneğin, güvenlik duvarları) tümüyle sizin sorumluluğunuzdadır. Daha net belirtmek gerekirse, buluttaki güvenliğinizin yapılandırması ve yönetiminden yalnızca siz sorumlusunuz.
  • Yalnızca AWS'nin Sorumluluğu: AWS ağ, veri depolaması, sistem kaynakları, veri merkezleri, fiziksel güvenlik, güvenilirlik ve destekleyici donanım ve yazılımlardan oluşan bulut altyapısını yönetir. AWS sistemi üzerine kurulmuş uygulamalar AWS'nin sağladığı özellikleri ve yapılandırılabilir seçenekleri devralır. Bulutun güvenliğini yapılandırmak ve yönetmek yalnızca AWS'nin sorumluluğundadır.

  Güvenlik yetkilendirmesi amacıyla, FedRAMP gereksinimleriyle uyumluluk (NIST 800-53 düzeltme 4 Düşük/Orta/Yüksek denetim temeline göre), AWS'nin Yalnızca AWS'ye Özel ve Paylaşılan denetimleri tümüyle yerine getirmesine ve sizin Yalnızca Müşteriye Özel ve Paylaşılan denetimleri yerine getirmenize bağlıdır. FedRAMP resmi onaylı üçüncü taraf değerlendirme kuruluşu (3PAO) güvenlik sorumluluğumuzla ilişkili AWS uygulamasını değerlendirmiş ve yetkilendirmiştir. Paylaşılan denetimlerden sizin sorumluluğunuza düşen bölüm ve AWS altyapısı üzerinde oluşturduğunuz uygulamalarla ilgili denetimler, NIST 800-37 ve sizin özel yetkilendirme politikalarınız ve prosedürleriniz uyarınca tarafınızdan ayrı olarak değerlendirilmeli ve yetkilendirilmelidir.
  

• AWS NIST çerçeveleriyle uyum sağlamama nasıl yardımcı olabilir?

  AWS FedRAMP uyumlu sistemlere yetki verilmiştir, bu sistemler FedRAMP güvenlik denetimlerine sahiptir (NIST SP 800-53), güvenli FedRAMP deposuna gönderilen güvenlik paketleri için gerekli FedRAMP şablonlarını kullanır, resmi onaylı bağımsız bir üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından değerlendirilmiştir ve FedRAMP'in sürekli izleme gereksinimlerini karşılamaktadır.

  AWS Paylaşılan Sorumluluk Modeli'ne göre AWS, bulutun güvenliğini yönetir ve bulutta güvenliğiniz sizin sorumluluğunuzdadır. Paylaşılan sorumlulukların uygulanmasını desteklemek için AWS, AWS'de Giriş Alanı Hızlandırıcısı çözümünü (AWS CloudFormation tarafından desteklenmektedir) oluşturdu. AWS'de Giriş Alanı Hızlandırıcısı çözümü, AWS en iyi uygulamaları ve NIST tabanlı çerçeveler dahil olmak üzere birden fazla küresel uygunluk çerçevesiyle uyumlu olacak şekilde tasarlanmış bir bulut temeli dağıtır. Yüksek düzeyde düzenlemeye tabi iş yüklerine ve karmaşık uygunluk gerekliliklerine sahip müşteriler, bu çözümle çoklu hesap ortamlarını daha iyi yönetebilir ve idare edebilir. Bu çözüm, diğer AWS hizmetleriyle koordineli şekilde kullanıldığında 35'ten fazla AWS hizmetinde geniş kapsamlı, düşük kodlu bir çözüm sunar. AWS'de Giriş Alanı Hızlandırıcısı çözümü, buluta uygunluk programınıza hazırlanmanıza hızlandıran güvenli, dayanıklı, ölçeklenebilir ve tam otomatik bir bulut temelini hızlıca dağıtmanıza yardımcı olur. Not: Bu çözüm kendi başına sizi uyumlu hale getirmeyecektir. Ek tamamlayıcı çözümlerin entegre edilebileceği temel altyapıyı sağlar.

• NIST CSF'yi nasıl kullanmalıyım?

  İster bir kamu kuruluşu ister özel sektör kuruluşu olun, NIST Siber Güvenlik Çerçevesi (CSF) teknik incelemesini kullanarak NIST CSF'ye göre AWS ortamınızı değerlendirebilir, oluşturduğunuz ve uyguladığınız güvenlik önlemlerini geliştirebilirsiniz (Paylaşılan Sorumluluk Modelinin size düşen tarafı, bulutta güvenlik olarak da bilinir). NIST CSF'yle uyumluluğunuzu kolaylaştırmak için, AWS Cloud hizmetlerinin ve bunlarla ilişkili müşteri ve AWS sorumluluklarının detaylı bir açıklamasını sağlıyoruz. Teknik incelemeye, kuruluşların AWS genelinde verilerini düzgün korumalarına olanak tanıyacak şekilde, AWS Cloud hizmetlerinin NIST CSF risk yönetimi uygulamalarıyla uyumluluğunu (Paylaşılan Sorumluluk Modelinin bize düşen tarafı, bulutun güvenliği olarak da bilinir) beyan eden bir üçüncü taraf denetçi mektubu da ekledik.

  Federal ve resmi kurumlar da dahil olmak üzere kuruluşlar ve büyük işletmeler bu teknik incelemeyi AWS çözümlerini uygulayıp NIST CSF'de risk yönetimi alanında sonuç elde etmek için kılavuz olarak kullanabilir.
  

NIST Kaynakları