國家標準技術研究所 (NIST)

概觀

600x400_NIST_Logo

國家標準技術研究所 (NIST) 800-53 安全管制廣泛適用於美國聯邦資訊系統。聯邦資訊系統通常必須經過正式的評估和授權程序,以確保能充分保護資訊和資訊系統的機密性、完整性和可用性。

全球各國的政府和各種產業支援任何部門或任何規模的所有組織使用 NIST 網路安全管理架構 (CSF) 做為建議的基準。根據 Gartner 的報告,2015 年約有百分之 30 的美國組織使用 CSF,預計在 2020 年達到百分之 50。美國聯邦機構的聯邦資訊安全管理法 (FISMA) 指標從 2016 會計年度開始依據 CSF 進行組織,現在依據網路安全行政命令,聯邦機構必須採用 CSF。

  • AWS 是否符合 NIST 800-53 架構的規範?

    是,AWS 雲端基礎設施和服務已通過第三方 NIST 800-53 第 4 修訂版控制和其他 FedRAMP 規定測試,並證實合規。AWS 已獲得 AWS GovCloud (US) 區域與 AWS 美國東部/西部區域的多家授權機構授與 FedRAMP 操作授權書 (ATO)。如需詳細資訊,請參閱 AWS FedRAMP 合規網頁,或以下 FedRAMP 市場網頁:

  • 若要讓我的 AWS 系統與 NIST 架構保持一致,客戶需負起哪些責任?

    雖然有些控制是從 AWS 繼承而來,但是許多控制都是由做為客戶的您與 AWS 之間共同的繼承。根據 NDA,AWS 提供以 NIST 800-53 第 4 版為基礎的 AWS FedRAMP SSP 範本,該範本已預先填入適當的 NIST 800-5 第 4 版低/中/高控制基準。控制責任如下:

    • 共同的責任:您負責保障軟體元件的安全並提供設定,AWS 負責保障基礎設施的安全。
    • 客戶單方面的責任:您須完全負責訪客作業系統、部署的應用程式及選取聯網資源 (例如防火牆)。具體來說,設定和管理雲端內部的安全性,是您單方面須承擔的責任。
    • AWS 單方面的責任:AWS 負責管理雲端基礎設施,包括網路、資料儲存體、系統資源、資料中心、實體安全、可靠性及支援軟硬體。以 AWS 系統為基礎建立的應用程式會繼承 AWS 提供的功能和可設定選項。設定及管理雲端本身的安全性,則是由 AWS 單方面負責。

    基於安全授權的目的,在 AWS 完全實作 AWS 單方面和共同的控制,以及您實作客戶單方面和共同的控制時,會暫時符合 FedRAMP 要求的規範 (根據 NIST 800-53 第 4 修訂版低/中/高控制基準)。FedRAMP 認可的第三方評估機構 (3PAO) 已經評估並授權 AWS 落實我們的控制責任。您負責的共同控制部分,以及與您以 AWS 基礎設施為基礎所實作的應用程式相關的控制,都必須在遵循 NIST 800-37 和您的專屬安全授權政策與程序之情況下,由您個別評估和授權。

  • AWS 如何協助我與 NIST 架構保持一致?

    AWS FedRAMP 合規系統已獲得授權,解決了 FedRAMP 安全控制 (NIST SP 800-53),對安全的 FedRAMP 儲存庫中張貼的安全套件採用必要的 FedRAMP 範本,由經過認可的獨立第三方評估組織 (3PAO) 評估,並且繼續達到 FedRAMP 的持續監控要求。

    根據 AWS 共同的責任模型,AWS 負責管理雲端本身的安全,而您負責維護雲端內部的安全。為了支援您落實共同的責任,AWS 建立快速入門解決方案 (採用 AWS CloudFormation 技術),只需按一下即可在 AWS 雲端中自動部署重要技術。每一份快速入門都會啟動、設定並執行在 AWS 上部署工作負載所需的 AWS 運算、網路、儲存及其他服務,以符合安全標準和架構的各項合規規定,例如 NIST 800-53。

    AWS 快速入門擁有完整的規則集,可系統化地強制執行,有助於簡化、自動化及實作安全基準。例如,AWS 雲端上以 NIST 為基礎的保證框架標準架構快速入門包括 AWS CloudFormation 範本。這些範本可與 AWS Service Catalog 整合,將建立標準化基準架構工作負載的過程自動化,這屬於 NIST 800-53 第 4 修訂版和 NIST 800-171 的範圍。快速入門還包括安全控制參考,對應基準的安全控制架構決策、功能及組態。快速入門可透過符合您組織的 AWS 雲端安全與合規目標的方式,幫助您在 AWS 中達到合規的目的。

  • 應如何使用 NIST CSF?

    無論您是公共部門或商業部門組織,都可以使用 NIST 網路安全管理架構 (CSF) 白皮書根據 NIST CSF 評估您的 AWS 環境,並改善您實行的安全措施 (您在共同的責任模型中負責的部分,也就是雲端內部的安全)。為了促進您與 NIST CSF 的一致性,我們提供 AWS 雲端服務及相關客戶和 AWS 責任的詳細描述。此白皮書還提供第三方稽核員委託書,證明 AWS 雲端服務符合 NIST CSF 風險管理實務 (我們在共同的責任模型中負責的部分,也稱為雲端本身的安全),讓各組織能夠更完善地保護 AWS 上的資料。

    從聯邦和州政府機構、受管制實體到大型企業的各種組織都可使用此白皮書做為實作 AWS 解決方案的指南,以達到 NIST CSF 中的風險管理成果。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »