一般性问题
全部打开通过 Amazon Security Hub,您可以全面了解亚马逊云科技内的安全状态,以及您对安全标准和最佳实践的合规性。Security Hub 将来自亚马逊云科技账户、服务和受支持的第三方合作伙伴的安全性调查发现集中在一起,并设置其优先级,从而帮助您分析安全趋势并确定最高优先级的安全问题。
Amazon Security Hub 可消除复杂性,并减少管理和改善亚马逊云科技账户和工作负载安全性的工作量。Amazon Security Hub 服务在特定区域内只需几分钟即可启用,帮助您回答每天可能遇到的基本安全性问题。
关键优势包括:
调查发现的集中化和规范化可节省时间 – Security Hub 收集在亚马逊云科技账户中启用的安全服务的调查发现,例如来自 Amazon Systems Manager 补丁管理器的不合规 EC2 实例,以及来自 Amazon IAM 访问权限分析器的公共资源识别。Security Hub 还使用标准化的亚马逊云科技安全调查发现格式收集来自合作伙伴安全产品的调查发现,从而消除耗时的数据解析和规范化工作。客户可指定主账户,用于查看其账户中的所有调查发现。
通过自动化检查提高安全性 – Security Hub 根据支持的行业最佳实践和标准(例如,互联网安全中心(CIS)Amazon Web Services Foundations Benchmark)中的规则,通过运行持续的自动化账户和资源级别配置检查,生成其自己的调查发现。
对调查发现快速采取措施 – Security Hub 将调查发现聚合到预构建的控制面板中,该控制面板提供条形图、折线图和表格,向您展示环境的当前安全状态以及趋势。现在,您可以轻松确定潜在问题,并采取必要的后续步骤。例如,您可以使用与 Amazon CloudWatch Events 的集成,将调查发现发送到票务、聊天、电子邮件或自动补救系统。
请参阅 Amazon Security Hub 定价页面,以了解最新的定价信息。请注意,在使用 Security Hub 的账户中,必须启用 Amazon Config。Amazon Security Hub 安全检查使用 Amazon Config 记录的配置项。如果尚未使用 Amazon Config,请参阅 Config 定价页面,以了解记录的每个配置项价格的最新信息。Security Hub 安全检查启用的 Amazon Config 规则不收取额外费用。
Amazon Security Hub 是区域性服务。这可确保分析的所有调查发现数据都基于区域,且不会跨越亚马逊云科技区域边界。客户必须在每个区域中启用 Security Hub,才能查看该区域的调查发现。
Amazon 区域表已列出 Amazon Security Hub 的可用区域,包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。
有很多技术合作伙伴支持标准化的调查发现格式,并且已经与 Amazon Security Hub 集成。请参阅 Amazon Web Services Security Hub 合作伙伴。
开始使用 Amazon Security Hub
全部打开首次打开 Security Hub 控制台时,只需选择“开始使用”,然后选择“启用”。Amazon Security Hub 使用与服务相关的角色,其中包括 Security Hub 要求的权限和信任策略,用于检测和聚合调查发现,以及配置运行安全检查所必不可少的 Amazon Config 基础设施。为使 Security Hub 能够在账户中运行安全检查,您必须在该账户中启用 Amazon Config。
是的,通过在 Security Hub 中配置多账户层次结构,即可管理某个区域内的多个账户。
调查发现是潜在的安全问题。Security Hub 对来自亚马逊云科技和第三方服务的安全警报或调查发现进行聚合、规范化,并设置其优先级,以及在运行持续的自动化配置检查后生成其自己的调查发现。调查发现提取事件是指将新调查发现提取到 Security Hub 中时或将调查发现更新提取到 Security Hub 中时。
洞察是相关调查发现的集合。Security Hub 使用筛选器提供托管的洞察,您可以针对自己的独特环境进一步定制筛选器。例如,洞察可帮助发现缺少针对重要漏洞的安全补丁的 EC2 实例或具有公有读取或写入权限的 S3 存储桶。托管和自定义的 Security Hub 洞察有助于您跟踪亚马逊云科技环境中的安全问题。
安全标准是基于监管框架或行业最佳实践的一组控制措施。Security Hub 对控制措施进行自动化安全检查。每次安全检查均包含针对单个资源的规则评估。单个控制措施可能涉及多个资源(例如 IAM 用户),并且针对每个资源执行安全检查。例如,Security Hub 支持 CIS Amazon Web Services Foundations Benchmark 标准,其由 43 个控制措施构成。启用 Security Hub 后,其将针对每个控制措施以及与该控制措施关联的每个相关资源,立即开始运行持续的自动化安全检查。
Amazon Security Hub 分析来自以下亚马逊云科技服务的安全警报或调查发现:Amazon Systems Manager 补丁管理器和 IAM 访问权限分析器。此外,请查看与 Security Hub 集成并支持标准化调查发现格式的 Amazon Security Hub 合作伙伴解决方案列表。
Amazon Security Hub 是一项安全性与合规性服务,可提供安全性与合规性状况管理服务。其使用 Amazon Config 和 Config 规则作为其主要机制,以评估亚马逊云科技资源的配置。Amazon Config 规则也可以用于直接评估资源配置。
如果 Amazon Security Hub 中已存在支付卡行业数据安全标准(PCI-DSS)之类的合规性标准,则完全托管的 Amazon Security Hub 服务是实现它的最简单方法。您可以使用 Security Hub 的 Amazon CloudWatch Events 集成,以制定自动化或半自动化补救措施。但是,如果您要组合自己的合规性或安全性标准(其中可能包括安全检查、运营检查或成本优化检查),则可以使用 Amazon Config 一致性包。通过将一组 Amazon Config 规则和相关的补救措施打包到单个实体中,Amazon Config 一致性包可简化 Amazon Config 规则的管理。这种打包可简化组织中规则和补救措施的部署。其还支持聚合的报告,因为合规性摘要可在包级别进行报告。您可以从我们提供的 Amazon Config 一致性示例开始,并根据需要自定义。
是,考虑到其依赖于 Amazon Config 和 Config 规则,Amazon Security Hub 和 Amazon Config 一致性包均支持持续合规性监控。基础的 Amazon Config 规则可以定期触发,也可以在检测到资源配置的更改时触发。这样,您可以持续审核和评估亚马逊云科技资源配置是否在整体上符合您所在组织的策略和准则。
使用 Amazon Security Hub
全部打开有多种方法可以查看最重要的安全问题。Security Hub 控制面板提供多种视图,其中显示哪些资源具有最多的调查发现、您的安全调查发现量如何随时间变化、哪些洞察生成的最多的调查发现。您可以访问洞察页面,并使用托管的洞察,以确定高优先级问题。您还可以创建自己的自定义洞察。
可以。Security Hub 创建一个分数,向您展示您在安全标准方面的表现,并将其显示在 Security Hub 主控制面板上。当您单击到安全标准时,您将看到需要注意的控制措施的摘要。Security Hub 显示了如何评估控制措施,以及有关如何缓解问题的信息性最佳实践。
不是,Security Hub 的重点是自动化安全检查。大多数安全标准都有各种无法以自动化方式检查的控制措施,这些控制措施超出 Security Hub 的范围。Security Hub 安全检查可以帮助您准备审核,但这并不代表您将通过与安全标准相关联的审核。
Security Hub 使用两种机制以帮助设置调查发现的优先级:洞察和安全标准。洞察是分组或相关的调查发现,可帮助您更快地确定更高优先级的调查发现。洞察的示例:“向我展示所有可能已感染恶意软件的 EC2 实例”和“向我展示 EC2 实例上任何可能的数据泄露情况”。
安全标准是一组基于监管要求或最佳实践的控制措施。亚马逊云科技已定义特定的安全检查(与标准中的控制措施一致)。例如,受支持的 Security Hub 标准是 CIS Amazon Web Services Foundations Benchmark。
Security Hub 允许通过 CloudWatch 事件导出调查发现,从而支持工作流选项。您可以使用 CloudWatch 事件设置与以下项的集成:聊天系统、经由 Amazon Lambda、Amazon Systems Manager Automation 文档或 Amazon Web Services Step Functions 的自动修复管道、SIEM(例如 IBM QRadar)以及服务单系统。
不会,Security Hub 是对亚马逊云科技安全服务的补充和增加。事实上,Security Hub 将链接回其他控制台,以帮助您获取更多上下文。Security Hub 不会复制每个安全服务内提供的设置、配置或专用功能。
QuickStart 解决方案设计为单个账户和单个区域模板,适用于涵盖检查 1.1、2.1-2.7 以及 3.1-3.14 的一些固化控制措施。QuickStart 包含必备模板,仅在单个区域中部署跟踪。由于 CIS 检查 1.1、2.1-2.5、2.7 以及 3.1-3.14 要求使用多区域跟踪,因此这些检查在 Security Hub CIS 安全标准中失败。[请注意,CIS QuickStart 解决方案仅对以下检查实施固化控制:1.1、2.1-2.7 以及 3.1-3.14。其余检查不由 CIS QuickStart 负责。] 此外,QuickStart“监控”检查 3.2、3.4、3.5 和 3.8-3.14 均使用 CloudWatch 事件得以执行,而不是使用 CloudWatch 指标筛选器,这也会导致上述检查在 Security Hub CIS 安全标准中失败。
Security Hub 中的支付卡行业数据安全标准(PCI DSS)由一组亚马逊云科技安全最佳实践控制措施组成。每项控制措施适用于一种特定的亚马逊云科技资源,并与一项或多项 PCI DSS 版本 3.2.1 要求相关。Security Hub 的文档提供有关 Security Hub 的 PCI DSS 检查如何映射到特定 PCI DSS 要求的详细信息。