在AWS GovCloud中满足渗透测试(Penetration Testing)的要求

【以下的回答经过翻译处理】 渗透测试与漏洞管理需区分开来，这一区分对于确保你的合规性非常重要。以下是NIST的定义摘录：

渗透测试 “安全测试，评估人员模仿真实攻击，试图识别规避应用程序、系统或网络安全特征的方法。渗透测试通常涉及对真实系统和数据发起真实攻击，使用与实际攻击者相同的工具和技术。”

漏洞管理 “识别可能被攻击者用来破坏设备并将其用作扩展网络攻击的平台的设备上的通用漏洞和曝光的能力。”

Nessus和Amazon Inspector是漏洞管理工具，它们无法直接帮助满足渗透测试要求，但可帮助满足漏洞管理、评估和扫描需求。AWS的这些组件（如Amazon ECR扫描、Amazon Inspector和AWS Security Hub）可协助满足相关需求。

AWS允许进行渗透测试和漏洞扫描，但有一定限制。具体限制详见所提到的政策。

建议查看官方文档以了解如何对800-171合规进行评估。

以下是可能对你有帮助的文档： AWS Config mapping for 800-171 (Check out the requirement items 3.11.2, 3.12.1, 3.12.3, 3.14.1 and related)

Building your Cybersecurity Maturity Model Certification CMMC strategy using cloud technologies