Viện Tiêu chuẩn và Kỹ thuật Quốc gia (NIST)
Tổng quan
/automating-security-best-practices-solution-icon%20(1).df6223b44fcba437b74f2170677baf86832ef22d.png)
Kiểm soát bảo mật 800-53 của Viện Tiêu chuẩn và Kỹ thuật Quốc gia (NIST) được áp dụng chung cho Hệ thống Thông tin Liên bang Hoa Kỳ. Hệ thống Thông tin Liên bang thường phải trải qua quá trình đánh giá và cấp phép chính thức nhằm đảm bảo khả năng bảo vệ và bảo mật hiệu quả, tính toàn vẹn và khả năng hiển thị thông tin và hệ thống thông tin.
Khuôn khổ an ninh mạng NIST (CSF) được hỗ trợ bởi chính phủ và các ngành trên thế giới theo mức cơ bản đã được đề nghị sử dụng cho bất cứ tổ chức nào, bất kể khu vực hoặc quy mô của tổ chức. Theo Gartner, năm 2015 gần 30 phần trăm các tổ chức đã sử dụng CSF và dự kiến đạt đến 50 phần trăm sử dụng vào năm 2020. Từ năm tài chính 2016, số liệu Đạo luật Hiện đại hóa Bảo mật thông tin Liên bang (FISMA) của cơ quan liên bang được tổ chức quanh CSF và các cơ quan hiện được yêu cầu triển khai CSF theo Lệnh thực thi an ninh mạng.
-
AWS có tuân thủ khuôn khổ NIST 800-53 không?
Có, cơ sở hạ tầng và dịch vụ của Đám mây AWS được xác thực bằng chương trình kiểm tra bên thứ ba được thực hiện trước các biện pháp kiểm soát NIST 800-53 bản hiệu chỉnh 4, cũng như những yêu cầu FedRAMP bổ sung. AWS đã nhận được Ủy quyền vận hành FedRAMP (ATO) từ nhiều cơ quan cấp quyền cho cả AWS GovCloud (US) và Khu vực Miền Đông/Tây Hoa Kỳ của AWS. Để biết thêm thông tin, hãy xem trang web Khả năng tuân thủ FedRAMP của AWS, hoặc các trang web Marketplace FedRAMP sau đây:
-
Trách nhiệm khách hàng của tôi về điều chỉnh hệ thống AWS theo khuôn khổ NIST là gì?
Trong khi bạn được hưởng một số quyền kiểm soát từ AWS thì bạn, với tư cách khách hàng, và AWS lại chia sẻ nhiều quyền kiểm soát khác. Trách nhiệm kiểm soát như sau:
- Trách nhiệm chung: Bạn sẽ chịu trách nhiệm về bảo mật và cấu hình của các thành phần phần mềm của bạn và AWS sẽ chịu trách nhiệm bảo mật cho cơ sở hạ tầng của mình.
- Trách nhiệm riêng của khách hàng: Bạn chịu hoàn toàn trách nhiệm về hệ thống vận hành khách, các ứng dụng được sử dụng và tài nguyên mạng được chọn (như tường lửa). Đặc biệt hơn, bạn hoàn toàn chịu trách nhiệm về việc cấu hình và quản lý bảo mật của bạn trong đám mây.
- Trách nhiệm riêng của AWS: AWS quản lý cơ sở hạ tầng đám mây, bao gồm mạng, lưu trữ dữ liệu, tài nguyên hệ thống, trung tâm dữ liệu, bảo mật vật lý, tính tin cậy và phần cứng cũng như phần mềm hỗ trợ. Những ứng dụng được xây dựng trên hệ thống AWS thừa hưởng các tính năng và lựa chọn có thể cấu hình do AWS cung cấp. AWS hoàn toàn chịu trách nhiệm về việc cấu hình và quản lý bảo mật của đám mây.
Với mục đích ủy quyền bảo mật, việc tuân thủ các yêu cầu của FedRAMP (dựa trên mức cơ bản kiểm soát thấp/vừa/cao NIST 800-53 rev 4) phụ thuộc vào việc AWS triển khai đầy đủ kiểm soát chung và kiểm soát riêng của AWS và phụ thuộc vào việc bạn triển khai kiểm soát chung và kiểm soát riêng của khách hàng. Tổ chức đánh giá bên thứ ba đã được công nhận của FedRAMP (3PAO) đã đánh giá và ủy quyền cho AWS triển khai trách nhiệm kiểm soát của chúng tôi. Phần kiểm soát chung mà bạn phải chịu trách nhiệm và các kiểm soát liên quan tới ứng dụng bạn triển khai trên cơ sở hạ tầng AWS phải do bạn đánh giá và ủy quyền riêng biệt, theo NIST 800-37, chính sách và thủ tục ủy quyền bảo mật cụ thể của bạn.
-
AWS có thể giúp tôi thực hiện điều chỉnh theo khuôn khổ NIST như thế nào?
Hệ thống tuân thủ AWS FedRAMP đã được cấp phép, đã giải quyết các kiểm soát bảo mật FedRAMP (NIST SP 800-53), sử dụng các mẫu FedRAMP cần thiết cho các gói bảo mật đăng trong Kho lưu trữ FedRAMP an toàn, tổ chức đánh giá bên thứ ba độc lập được công nhận (3PAO) đã đánh giá và duy trì các yêu cầu giám sát liên tục của FedRAMP.
Theo Mô hình trách nhiệm chung AWS, AWS quản lý bảo mật của đám mây và bạn chịu trách nhiệm cho vấn đề bảo mật của mình trong đám mây. Để hỗ trợ bạn thực hiện các trách nhiệm chung, AWS đã tạo giải pháp Trình tăng tốc vùng đích trên AWS (được cung cấp bởi AWS CloudFormation). Giải pháp Trình tăng tốc vùng đích trên AWS triển khai nền tảng đám mây được thiết kế để phù hợp với các phương pháp tốt nhất của AWS và nhiều khung tuân thủ toàn cầu, trong đó có các khung dựa trên NIST. Nhờ giải pháp này, khách hàng với khối lượng công việc có quy định nghiêm ngặt và yêu cầu tuân thủ phức tạp có thể quản lý và điều hành tốt hơn môi trường đa tài khoản của họ. Khi sử dụng phối hợp với các dịch vụ AWS khác, giải pháp này mang lại khả năng toàn diện không cần viết nhiều mã trên hơn 35 dịch vụ AWS. Giải pháp Trình tăng tốc vùng đích trên AWS giúp bạn nhanh chóng triển khai nền tảng đám mây bảo mật, có khả năng phục hồi, quy mô linh hoạt và hoàn toàn tự động, qua đó tăng tốc mức độ sẵn sàng cho chương trình tuân thủ đám mây của bạn. Lưu ý: Bản thân giải pháp này sẽ không giúp bạn tuân thủ. Giải pháp này cung cấp cơ sở hạ tầng nền tảng mà từ đó các giải pháp phụ trợ bổ sung có thể được tích hợp.
-
Tôi nên sử dụng NIST CSF như thế nào?
Dù bạn là tổ chức trong khu vực công hay thương mại, bạn có thể sử dụng báo cáo nghiên cứu chuyên sâu về Khuôn khổ an ninh mạng NIST (CSF) nhằm đánh giá môi trường AWS của bạn đối với NIST CSF và cải thiện các biện pháp bảo mật bạn triển khai và vận hành (phần của bạn trong Mô hình Chia sẻ trách nhiệm, còn được gọi là bảo mật trong đám mây). Để hỗ trợ việc điều chỉnh của bạn theo NIST CSF, chúng tôi cung cấp bản mô tả chi tiết về Dịch vụ đám mây AWS và trách nhiệm liên quan của khách hàng và AWS. Báo cáo nghiên cứu chuyên sâu cũng đưa ra thư kiểm định bên thứ ba chứng nhận sự phù hợp của Dịch vụ đám mây AWS với các biện pháp quản lý rủi ro NIST CSF (phần của chúng tôi trong Mô hình Chia sẻ trách nhiệm, còn được gọi là bảo mật của đám mây), cho phép các tổ chức bảo vệ dữ liệu của mình qua AWS đúng cách.
Các tổ chức bao gồm các cơ quan liên bang và tiểu bang, các thực thể được quy định và tập đoàn lớn có thể sử dụng báo cáo nghiên cứu chuyên sâu làm hướng dẫn triển khai các giải pháp AWS nhằm đạt được kết quả quản lý rủi ro trong NIST CSF.
