國家標準技術研究所 (NIST)
概觀
國家標準技術研究所 (NIST) 800-53 安全管制廣泛適用於聯邦資訊系統。聯邦資訊系統通常必須經過正式的評估和授權程序,以確保能充分保護資訊和資訊系統的機密性、完整性和可用性。
全球各國的政府和各種產業支援任何部門或任何規模的所有組織使用 NIST 網路安全管理架構 (CSF) 做為建議的基準。根據 Gartner 的報告,2015 年約有百分之 30 的美國組織使用 CSF,預計在 2020 年達到百分之 50。美國聯邦機構的聯邦資訊安全管理法 (FISMA) 指標從 2016 會計年度開始依據 CSF 進行組織,現在依據網路安全行政命令,聯邦機構必須採用 CSF。
常見問答集
-
AWS 是否符合 NIST 800-53 架構的規範?
是,AWS 雲端基礎設施和服務已通過第三方 NIST 800-53 第 4 修訂版控制和其他 FedRAMP 規定測試,並證實合規。AWS 已獲得 AWS GovCloud (US) 與 AWS 美國東部/西部區域的多家授權機構授與 FedRAMP 操作授權書 (ATO)。如需詳細資訊,請參閱 AWS FedRAMP 合規網頁,或以下 FedRAMP 市場網頁:
-
若要讓我的 AWS 系統與 NIST 架構保持一致,客戶需負起哪些責任?
雖然有些控制是從 AWS 繼承而來,但是許多控制都是由做為客戶的您與 AWS 之間共同的繼承。控制責任如下:
- 共同的責任:您負責保障軟體元件的安全並提供設定,AWS 負責保障基礎設施的安全。
- 客戶單方面的責任:您須完全負責訪客作業系統、部署的應用程式及選取聯網資源 (例如防火牆)。具體來說,設定和管理雲端內的安全性,是您單方面須承擔的責任。
- AWS 單方面的責任:AWS 負責管理雲端基礎設施,包括網路、資料儲存體、系統資源、資料中心、實體安全、可靠性及支援軟硬體。以 AWS 系統為基礎建立的應用程式會繼承 AWS 提供的功能和可設定選項。設定及管理雲端本身的安全,由 AWS 單方面負責。
基於安全授權的目的,在 AWS 完全實作 AWS 單方面和共同的控制,以及您實作客戶單方面和共同的控制時,會暫時符合 FedRAMP 要求的規範 (根據 NIST 800-53 第 4 修訂版低/中/高控制基準)。FedRAMP 認可的第三方評估機構 (3PAO) 已經評估並授權 AWS 落實我們的控制責任。您負責的共同控制部分,以及與您以 AWS 基礎設施為基礎所實作的應用程式相關的控制,都必須在遵循 NIST 800-37 和您的專屬安全授權政策與程序之情況下,由您個別評估和授權。
-
AWS 如何協助我與 NIST 架構保持一致?
AWS FedRAMP 合規系統已獲得授權,解決了 FedRAMP 安全控制 (NIST SP 800-53),對安全的 FedRAMP 儲存庫中張貼的安全套件採用必要的 FedRAMP 範本,由經過認可的獨立第三方評估組織 (3PAO) 評估,並且繼續達到 FedRAMP 的持續監控要求。
根據 AWS 共同責任模式,AWS 負責管理雲端本身的安全,而您負責維護雲端內部的安全。為支援您的共同責任建置,AWS 建立了 AWS 登陸區域加速器解決方案 (由 AWS CloudFormation 提供支援)。AWS 登陸區域加速器解決方案部署雲端基礎,其架構符合 AWS 最佳實務和包括 NIST 架構在內的多個全球合規架構。憑藉此解決方案,具有高度監管工作負載和複雜合規要求的客戶,能夠更好地管理和治理其多帳戶環境。在與其他 AWS 服務配合使用時,其提供一個涵蓋超過 35 種 AWS 服務的低程式碼全方位解決方案。AWS 登陸區域加速器解決方案協助您快速部署安全、彈性、可擴展且完全自動化的雲端基礎,從而讓您加速為雲端合規計畫做好準備。注意:該解決方案本身不會讓您合規。其提供基礎架構,可從中整合其他配套的解決方案。
-
應如何使用 NIST CSF?
無論您是公共部門或商業部門組織,都可以使用 NIST 網路安全管理架構 (CSF) 白皮書根據 NIST CSF 評估您的 AWS 環境,並改善您實行的安全措施 (您在共同的責任模型中負責的部分,也就是雲端內部的安全)。為了促進您與 NIST CSF 的一致性,我們提供 AWS 雲端服務及相關客戶和 AWS 責任的詳細描述。此白皮書還提供第三方稽核員委託書,證明 AWS 雲端服務符合 NIST CSF 風險管理實務 (我們在共同的責任模型中負責的部分,也稱為雲端本身的安全),讓各組織能夠更完善地保護 AWS 上的資料。
從聯邦和州政府機構、受管制實體到大型企業的各種組織都可使用此白皮書做為實作 AWS 解決方案的指南,以達到 NIST CSF 中的風險管理成果。