使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

在AWS GovCloud中满足渗透测试(Penetration Testing)的要求

0

【以下的问题经过翻译处理】 针对使用AWS GovCloud的用户,你们如何满足NIST SP 800-171中规定的渗透测试要求?在我们的办公网络上,公司使用Nessus来满足要求,但这似乎和AWS的政策相悖。 我今天刚接触到Amazon Inspector,但我还没有经过我的IA部门的核实。有人有任何关于使用Amazon Inspector满足这些800-171要求的经验吗?

profile picture
专家
已提问 3 年前32 查看次数
1 回答
0

【以下的回答经过翻译处理】 渗透测试与漏洞管理需区分开来,这一区分对于确保你的合规性非常重要。以下是NIST的定义摘录:

渗透测试 “安全测试,评估人员模仿真实攻击,试图识别规避应用程序、系统或网络安全特征的方法。渗透测试通常涉及对真实系统和数据发起真实攻击,使用与实际攻击者相同的工具和技术。”

漏洞管理 “识别可能被攻击者用来破坏设备并将其用作扩展网络攻击的平台的设备上的通用漏洞和曝光的能力。”

Nessus和Amazon Inspector是漏洞管理工具,它们无法直接帮助满足渗透测试要求,但可帮助满足漏洞管理、评估和扫描需求。AWS的这些组件(如Amazon ECR扫描、Amazon Inspector和AWS Security Hub)可协助满足相关需求。

AWS允许进行渗透测试和漏洞扫描,但有一定限制。具体限制详见所提到的政策。

建议查看官方文档以了解如何对800-171合规进行评估。

以下是可能对你有帮助的文档: AWS Config mapping for 800-171 (Check out the requirement items 3.11.2, 3.12.1, 3.12.3, 3.14.1 and related)

Building your Cybersecurity Maturity Model Certification CMMC strategy using cloud technologies

profile picture
专家
已回答 3 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则