发布于: Jul 29, 2022
Security Hub 在各个区域的统一仪表板中为用户提供涵盖多个 Amazon Web Services 账户的安全性与合规性状态的直观支持。通过此项服务,您可以监控各关键设置,保证 Amazon Web Services 账户始终安全可靠
2020 年 7 月 21 日: 更新了在您授权的各区域内启用 Security Hub 的相关建议。
Amazon Security Hub 是一项安全与合规性服务,于 2019 年 6 月 25 日正式推出通用版本。Security Hub 在各个区域的统一仪表板中为用户提供涵盖多个 Amazon Web Services 账户的安全性与合规性状态的直观支持。通过此项服务,您可以监控各关键设置,保证 Amazon Web Services 账户始终安全可靠,同时确保能够时刻关注环境中出现的各类变化、并有针对性地做出快速反应。
Amazon Security Hub 汇总,组织并按优先级排列受支持的 Amazon Web Services 服务(在发布本文时为 Amazon GuardDuty,Amazon Inspector 和 Amazon Macie)以及来自各种 Amazon Web Services 合作伙伴安全解决方案的安全性结果。Amazon Security Hub 还使用服务链接的 Amazon Config 规则以及其他分析技术,基于自动化,资源级和账户级配置以及合规性检查,生成自己的发现。这些检查有助于您使 Amazon Web Services 账户符合行业标准和最佳实践,例如 Internet 安全中心(CIS)Amazon Web Services Foundations 标准。
在本文中,我们将分享三项最佳实践,帮助您更高效地使用 Amazon Security Hub。
最佳做法是,即使是在不经常使用的区域中,您也应持续监控所有 Amazon Web Services 账户的所处区域是否存在未授权行为或配置错误。Amazon Web Services 已经建议用户使用监控服务(例如 Amazon Config 与 Amazon CloudTrail)时执行此操作。我们建议您在已授权的每个区域中启用 Security Hub,并使用服务控制策略(SCP)以保证无活动的其他区域中不存在任何操作,因此您无需在这些区域中启动 Security Hub。
此外,您还可以邀请其他 Amazon Web Services 账户启用 Security Hub,并与您 Amazon Web Services 账户共享发现结果。如果您发送的邀请被其他账户所有者的接受,则您的 Security Hub 账户将成为主账户,其他任何与之关联的 Security Hub 账户都将作为成员账户。接下来,来自主账户的用户将能够通过成员账户查看其 Security Hub 发现结果。
为了简化配置流程,您可以使用 GitHub 上提供的现成 Amazon Web Services Labs 脚本。此脚本将自动执行整个设置流程。在脚本的支持下,您可以在相关联的 Amazon Web Services 账户列表中同时为所有账户启用及禁用 Amazon Security Hub,并将其批量添加为 Security Hub 成员。主账户负责发送邀请,其他所有成员账户都将自动接受邀请。要运行此脚本,您需要拥有各 Amazon Web Services 账户 ID,以及您希望指定为 Security Hub 成员的各 Amazon Web Services 账户根邮件地址。(请注意,请仅与您信任的 Amazon Web Services 账户共享根邮件地址与账户 ID。)
在默认情况下,Security Hub 主/成员关联将独立于您在 Amazon GuardDuty 或 Amazon Macie 当中建立的账户关联关系。如果 GuardDuty 或 Macie 中已经存在主/成员层次结构,您可以将其账户列表以 CSV 文件的格式导出,然后配合 Security Hub 脚本一起使用。例如,在 GuardDuty 当中,使用 ListMembers API 以导出 Amazon Web Services 账户 ID 与全部成员账户的电子邮件,具体代码如下:
aws guardduty list-members –detector-id <Detector ID> –query “Members[].[AccountId, Email]” –output text | awk ‘{print $1 “,” $2}’
以上命令的输出结果,为您的 GuardDuty 成员账户 ID 及其相应的根邮件地址,每行一条并以逗号分隔,具体如下所示:
12345678910,abc@example.com
98765432101,xyz@example.com
在任意区域内启用 Security Hub 时,默认情况下都会启用 Amazon CIS 安全基线标准检查。我们建议您保持启用状态,它们是适用于所有 Amazon Web Services 账户的重要安全措施。
对于运行安全基线检查,Security Hub 需要使用与服务链接的 Amazon Config 规则实现。因此,请确保在部署 Security Hub 的所有账户及区域中都已启用 Amazon Config,并记录所有受支持资源,包括全局资源。这些服务链接的规则不会在 Amazon Config 当中产生额外费用,所有使用成本皆通过 Security Hub 的费率标准体现。
您可以选择允许大规模用户访问 Security Hub 执行 List 与 Read 操作,这将允许他们及时获取安全发现结果。但请注意,您应该仅允许一小部分用户访问 Security Hub 执行 Write 操作,这样,将仅允许授权用户归档、处理或修复这些调查结果。
您可以使用 Amazon Web Services 托管策略为您的员工授予他们所必需的权限。这些策略已经在您的账户中,并由 Amazon Web Services 负责维护与更新。如果需要对 Security Hub 用户进行更细粒度授权,则建议您创建自己的客户托管策略。比较简单方式是导入现有 Amazon Web Services 托管策略,在保证策略本身正确无误的前提下,针对当前环境进行自定义。
Amazon Web Services 根据各项操作的作用,将每种服务操作归为五个访问级别:List、Read、Write、Permissions management 以及 Tagging。要确定您分配给用户的 IAM 策略所应包含的访问级别,如果您可以通过从 IAM Console 中导航至 Policies,而后选择任意 Amazon Web Services 托管或客户托管策略。接下来,在 Summary 页面的 Permissions 选项卡下,选择 Policy summary(详见图一)。关于访问级别分类的更多详细信息及示例,请参阅通过策略摘要了解访问级别。
图一:AmazonSecurityHubReadOnlyAccessAmazon托管策略摘要
相关文章