Amazon Security Hub 常见问题

Amazon Security Hub 是一种统一的云安全解决方案，可优先处理关键安全问题，并帮助您进行大规模响应。该解决方案通过自动关联和增强多个来源的安全信号（例如安全状况管理（Amazon Security Hub CSPM）、漏洞管理（Amazon Inspector）和威胁检测（Amazon GuardDuty）），以检测关键问题。这使安全团队可通过自动化分析和上下文洞察发现云环境中的主动风险，并优先予以处理。Security Hub 通过直观的可视化（包括威胁趋势和暴露摘要）和近乎实时的风险分析，将复杂的安全信号转化为可操作的洞察，因此您可以快速做出更明智的安全决策。该解决方案还包含自动化响应工作流程，可大规模简化补救措施，帮助您降低安全风险，同时提升团队工作效率，并最大限度减少操作中断。

Security Hub CSPM（云安全状况管理）提供自动化的安全最佳实践检查，帮助您了解亚马逊云科技账户的整体安全状况。它提供基本的安全状况信号，这些信号与其他安全功能协同工作，可对安全问题进行优先级排序，并帮助您进行大规模响应。

Security Hub 已增强其功能，从集中式安全调查发现聚合器和安全状况管理服务发展为全面的统一云安全解决方案。您之前所熟知的 Security Hub（重点关注汇总安全调查发现、安全最佳实践检查和合规性监控）现在以 Security Hub CSPM 的形式提供。在此基础上，Security Hub 现可自动关联跨多个功能的安全信号，包括漏洞管理（Amazon Inspector）、威胁检测（Amazon GuardDuty）以及安全状况管理（Amazon Security Hub CSPM）。这种增强的关联性有助于您识别在单独查看调查发现时可能忽略的关键安全风险。例如，Security Hub 现可自动检测存在严重漏洞且对外公开的资源何时也存在配置错误，从而为优先级排序和响应提供关键的上下文信息。您所重视的安全调查发现聚合和安全状况管理仍保持不变，并且因这些新功能而得到增强。您现有的安全检查、合规性监控和集成功能仍将照常运行，同时您还将获得强大的新功能，包括关联、分析、威胁趋势、暴露摘要以及自动化响应。这一演变通过近乎实时的风险分析，将多种安全信号转化为可操作的洞察，让您能够更快、更明智地制定安全决策，从而帮助您保护云环境。

Amazon Security Hub 已从以云安全状况管理（CSPM）为中心的服务演变为统一的云安全解决方案。在 GA 版本中，Security Hub 相较于预览版已进行多项增强，包括：近乎实时的风险分析功能，可提供更全面的风险上下文信息，从而助力用户更快、更明智地制定安全决策；趋势仪表板，通过可视化分析展示暴露摘要和威胁趋势小组件；以及统一的启用和管理，通过跨区域和账户的一键式设置，简化运营，从而减少配置时间和复杂性。Security Hub 还推出一种简化的定价模式，该模式整合多项服务（Amazon Inspector、GuardDuty、Security Hub CSPM）的定价，以优化成本管理并提高预算可预测性。

• 统一安全运营：通过统一的云安全解决方案实现集中管理，从而全面掌握您的云环境状况。
• 自信地确定优先级：通过自动化关联和增强的风险上下文，针对关键安全问题制定明智决策。
• 可操作的安全洞察：通过近乎实时的风险分析（包括威胁趋势和暴露摘要），获取可操作的洞察，从而发现特定环境的安全风险。
• 大规模简化响应：通过自动化工作流程缩短响应时间，以帮助保护您的云环境。
• 持续安全监控：通过针对行业标准和亚马逊最佳实践进行自动化安全检查，检测是否偏离安全最佳实践。

是的，您可以同时使用 Security Hub 和 Security Hub CSPM。增强版 Security Hub 是统一的云安全解决方案，使用 Security Hub CSPM 进行安全状况管理，同时结合包括 Amazon Inspector 和 Amazon GuardDuty 在内的其他安全服务。启用增强版 Security Hub 后，它会利用 Security Hub CSPM 提供自动化的安全最佳实践检查和合规性监控，同时在这些多种安全服务之间添加高级关联、暴露调查发现以及自动化响应功能。此方法既能保留您现有的 Security Hub CSPM 功能，又能获得统一 Security Hub 解决方案所提供的增强型关联和优先级排序功能。虽然您可以选择启用哪些功能，但我们建议您采用完整的统一解决方案，通过自动化关联以及跨安全信号的增强型上下文信息，帮助您大规模对关键安全问题进行优先级排序和响应。

Security Hub 可在不影响现有工作流程的情况下强化安全操作。您将获得统一的控制台体验，该体验整合来自多个服务的安全调查发现，同时在需要时保持对单个服务控制台的完全访问权限。主要的操作改进包括：通过与 Amazon Organizations 的集成简化多账户部署、集中管理安全调查发现，以及实现风险优先级自动排序，以帮助您的团队优先处理关键问题。您现有的安全流程和团队工作流程保持不变，但通过整合后的可视化和简化的管理，其效率将得以提升。

启用 Security Hub 后，其简化的定价模式会将来自多个亚马逊云科技安全服务的费用整合到统一账单中。您无需单独接收 Amazon Inspector、GuardDuty 和 Security Hub CSPM 的账单，而是通过 Security Hub 获得包含这些功能的合并定价。该模型包含两大主要组件：Security Hub 基础计划（自动包含），提供风险分析、漏洞管理、安全状况管理和安全响应管理；威胁分析计划（附加组件），提供增强的威胁监控功能。如果未启用 Security Hub，这些服务将按单项服务定价。有关更多详细信息，请访问 Security Hub 定价页面。

您有两种部署方法：

统一的安全解决方案（推荐）：正式发布（GA）时，Security Hub 提供统一的启用流程，并支持您通过单个统一控制台管理跨多个亚马逊云科技区域和账户的偏好设置。

• 启用 Security Hub 及其基本服务：
• Security Hub CSPM，用于状况管理
• Amazon Inspector，用于漏洞管理（Amazon EC2 扫描、Amazon ECR 容器扫描和 Amazon Lambda 标准扫描）
• Amazon GuardDuty，用于威胁检测

个性化方法：独立使用安全服务，同时单独管理安全调查发现。虽然这能满足特定使用案例的需求，但您需要手动关联调查发现，以识别并优先处理关键的安全风险。增强版 Security Hub 中的新功能（例如暴露调查发现、趋势、实时风险分析和自动化关联分析）需要启用基本服务（Security Hub CSPM 和 Amazon Inspector）。如果没有这些基本服务，您将无法受益于这些安全功能。

选择最符合您具体安全需求和偏好的方法。但是，我们建议采用统一的解决方案，因为其能够对安全信号进行自动关联并提供更丰富的上下文，从而帮助您对安全风险进行优先级排序，并大规模做出响应。

启用 Security Hub 后，系统会自动在您的账户中启用 Security Hub CSPM，以进行安全状况管理。下一步，您需要使用控制台流程、策略或 API 在个人账户或成员账户中启用其他服务，包括用于漏洞管理的 Amazon Inspector 功能（Amazon EC2 扫描、Amazon ECR 扫描和 Amazon Lambda 标准扫描），以及由 Amazon GuardDuty 驱动的威胁检测分析功能。这些服务对于增强版 Security Hub 中的各项功能（例如暴露调查发现、趋势和自动关联分析）至关重要。因此，虽然 Security Hub CSPM 会自动启用，但您必须采取额外步骤以启用 Amazon Inspector 和 GuardDuty 功能，才能充分利用 Security Hub 中的统一安全操作。

Security Hub 是一项区域性服务，但支持通过指定聚合区域实现跨区域聚合调查发现。客户必须在每个区域启用 Security Hub，才能查看该区域的调查发现。

增强版 Security Hub 无需使用 Amazon Config。但是，作为 Security Hub 核心功能之一的 Security Hub CSPM，要求您在账户中启用 Amazon Config，并将其配置为记录资源配置更改。Amazon Config 需要跟踪这些配置更改，以便识别资源中潜在的配置错误。

否，Security Hub 通过提供统一视图和高级关联功能，与其他亚马逊云科技安全服务相辅相成。虽然 Security Hub 会对来自 Amazon GuardDuty 和 Amazon Inspector 等服务的调查发现进行关联和增强，但您可能仍需使用单个服务控制台进行特定配置或详细调查。Security Hub 提供统一的安全解决方案，可在整个云环境中提供增强的分析和自动化响应功能。

Security Hub 会优先处理您的关键安全问题，并通过自动关联和增强多个来源（例如威胁检测和漏洞管理）的安全信号，帮助您进行大规模响应。通过这种关联，Security Hub 可显示并优先处理云环境中的主动风险，借助直观的可视化效果和自然语言摘要，将复杂的安全信号转化为可操作的洞察。这使您可以快速制定更明智的安全决策，同时利用自动化响应工作流程大规模简化补救措施。您可以降低安全风险、提升团队工作效率，并将潜在的运营中断降至最低，同时全面掌握安全状况，从而保护您的云环境。

Security Hub 会关联安全调查发现，从而对云环境中的关键问题进行优先级排序。通过分析资源关系以及来自 Amazon Inspector、Amazon Security Hub CSPM 和 Amazon GuardDuty 等服务的信号，增强版 Security Hub 会自动生成暴露调查发现，以帮助您解决关键的安全问题。暴露调查发现还可以帮助您直观地了解不同的资源关系、配置以及相关调查发现如何相互结合，从而创建潜在的攻击路径。例如：“潜在的凭证窃取：可通过互联网访问且具有管理员实例配置文件的 EC2 实例存在可被利用的网络软件漏洞，被利用的可能性极高。” 您可以清晰地了解可能被利用的资源，并自信地决定优先处理哪些问题，从而帮助您识别在单独查看调查发现时可能被忽略的复杂安全场景。

Security Hub 通过分析和关联亚马逊服务中的多种安全特征来计算暴露调查发现的严重程度。Security Hub 不会孤立地评估这些因素，而是采用基于上下文的方法，根据这些因素的关联性分配严重性评级。例如，如果某个已识别出漏洞的资源可从互联网被利用，则其严重性评级可能会更高。
易发现性：自动化工具（如端口扫描或互联网搜索）用于发现风险资源的可用性。
易利用性：威胁行为者利用风险的难易程度。例如，如果存在开放的网络路径或配置错误的元数据，威胁行为者就能更容易地利用风险。
漏洞利用的可能性：Security Hub 同时利用外部信号（例如漏洞利用防护评分系统（EPSS））和内部威胁情报，判断风险被利用的可能性。此综合方法适用于 Amazon Elastic Compute Cloud（EC2）实例和 Amazon Lambda 函数的暴露调查发现。
认知度：风险不仅仅是理论上的，而是具有公开可获得或自动化的漏洞利用程序的程度。此因素适用于 EC2 实例和 Lambda 函数的暴露调查发现。
影响：漏洞被利用的潜在危害。例如，暴露可能导致因数据泄露而造成机密性丧失、因数据损坏而导致完整性丧失、可用性丧失或可追责性丧失。

Security Hub 可帮助您直观了解漏洞和配置错误如何相互关联，从而创建通向关键资源的潜在攻击路径。通过自动关联安全信号，Security Hub 可识别这些潜在路径，帮助您了解哪些关键资源可能受到影响，以及潜在暴露的范围。这一洞察使您能够确定补救工作的优先级，并在风险被利用之前保护关键资源。

Security Hub 提供亚马逊云科技资源的统一视图，其中已整合安全状况、配置详细信息和应用程序上下文。您可以通过单个统一视图，识别可从互联网访问的资产及其相关的安全调查发现。这有助于您对关键

安全问题进行优先级排序，并通过简化跨资源类型的安全分析来实现大规模响应。

Security Hub 通过暴露摘要和威胁趋势提供趋势分析，帮助您了解随时间推移的安全模式。该统一仪表板包含可自定义的小组件，用于显示基于风险的优先级视图、攻击路径可视化以及趋势分析。这些功能可帮助您跟踪安全状况的演变，并识别环境中新出现的威胁或反复出现的问题。

Security Hub 通过自动化工作流程以及与现有工单系统的集成，帮助您大规模应对关键的安全问题。通过将安全信号转化为可操作的洞察，并提供自动化响应功能，Security Hub 不仅能帮助您降低安全风险，还能提升团队工作效率，并最大限度地减少运营中断。

Security Hub 和 Security Hub CSPM 的调查发现在四大关键方面存在差异：来源、类型、格式以及事件交付。

• 调查发现来源：Security Hub 接收来自 Security Hub CSPM（来自安全检查的调查发现）、Amazon GuardDuty 和 Amazon Inspector 的调查发现。Security Hub CSPM 接收来自多个亚马逊云科技服务的调查发现，例如 Amazon Config、Amazon WAF、Amazon GuardDuty、Amazon Inspector、第三方合作伙伴工具以及自定义调查发现。
• 调查发现类型：虽然两者均会收到来自综合安全服务的调查发现，但增强版 Security Hub 还会通过关联 Amazon Security Hub CSPM 和 Amazon Inspector 发出的安全信号，生成暴露调查发现，以识别关键的安全风险。这些暴露调查发现通过跨多个安全信号的自动化关联，提供更全面的上下文信息。
• 调查发现格式：增强版 Security Hub 使用 OCSF（开放网络安全架构框架）格式，而 Security Hub CSPM 则使用 ASFF（亚马逊安全调查发现格式）。这种格式差异反映两者在安全调查发现管理和分析方面截然不同的方法。
• 事件交付：Security Hub CSPM 调查发现将通过 Amazon EventBridge 交付，其详细信息类型为“Security Hub 调查发现 – 已导入”。 Security Hub 调查发现将通过 EventBridge 交付，其详细信息类型为“调查发现已导入 V2”。

增强型 Security Hub 不会接收来自第三方合作伙伴工具的调查发现。但是，您可以继续使用 Security Hub CSPM 与亚马逊云科技合作伙伴工具的集成，在 Security Hub CSPM 内发送、接收和更新调查发现。这样，您既可以维护现有的合作伙伴工具工作流程，又能充分利用针对亚马逊原生安全服务调查发现的增强型关联和优先级排序功能。

否，资源列表中仅包含可由我们的安全服务（Security Hub CSPM、Amazon Inspector 或 GuardDuty）进行评估的资源类型。但是，这些资源类型中的所有单个资源均包含在列表中。Security Hub 资源列表视图提供以安全为重点的资源清单，其中显示受支持的资源及其相关的漏洞、威胁和特征。这种针对性视图可帮助您识别关键资源并确定其优先级，例如，通过显示整个云环境中所有公开暴露的资产。

Security Hub 通过提供自动化工作流程以及与现有工单系统的集成，以加快响应速度，助您高效解决安全问题。它采用标准化的开放网络安全架构框架（OCSF）格式，可与您现有的安全工具（包括 SIEM、SOAR 和工单系统）无缝集成。您可以在首选通信渠道中设置自动响应操作或触发警报。此集成可帮助您高效处理安全问题，缩短响应时间，并最大限度地减少安全操作中的人工操作。

在 Security Hub 中能否设置不同的委派管理员取决于您当前的配置。以下是不同场景：

• 如果 Security Hub CSPM 已将委派管理员账户定义为组织管理账户，则 Security Hub 可以将委派管理员账户设置为您选择的账户。
• 如果 Security Hub CSPM 尚未定义委派管理员账户，则 Security Hub 可以将委派管理员设置为您选择的账户。
• 如果 Security Hub CSPM 将委派管理员账户定义为与组织管理账户不同的账户，则 Security Hub 会自动将委派管理员账户设置为与 Security Hub CSPM 相同的账户。对任一服务的委派管理员账户所做的任何更改都将同时适用于这两项服务。

为保持一致的治理和最小权限访问控制，我们建议为所有安全功能（包括 Security Hub、Security Hub CSPM、GuardDuty 和 Amazon Inspector）使用同一位委派管理员。

Amazon Security Hub 使用 Amazon Organizations 策略管理整个组织成员账户中 Security Hub 的启用和配置。您将无法对 Amazon Security Hub 使用集中配置，但仍可继续对 Amazon Security Hub CSPM 使用集中配置。

同时使用 Security Hub 和 Security Hub CSPM 时，如果某条自动化规则适用于查找在 Security Hub 中也存在的源，建议将该规则从 CSPM 迁移至 Security Hub。这确保在 Security Hub 中能够查看最终的调查发现状态，同时也确保 CSPM 和 Security Hub 中针对同一调查发现类型的规则不会出现冲突。 

CSPM 是一种识别工作负载、账户和资源中的配置错误及合规风险的实践，以维护云安全状况。Security Hub CSPM 是一项适用于 CSPM 的亚马逊云科技服务，可执行安全最佳实践检查、汇总警报，并帮助您实现对亚马逊云科技账户、工作负载和资源的自动化修复。

首次打开 Security Hub CSPM 控制台时，只需选择“开始使用”，然后选择“启用”。Security Hub CSPM 使用与服务相关的角色，其中包括 Security Hub CSPM 要求的权限和信任策略，用于检测和聚合调查发现，以及配置运行安全检查所必不可少的 Amazon Config 基础设施。许多 Security Hub CSPM 控制措施都要求激活 Amazon Config 才能在账户中运行安全检查。

洞察是相关调查发现的集合。Security Hub CSPM 使用筛选器提供托管的洞察，您可以针对自己的独特环境进一步定制筛选器。例如，洞察有助于识别缺少针对重要漏洞的安全补丁的 Amazon Elastic Compute Cloud（Amazon EC2）实例或具有公有读取或写入权限的 Amazon Simple Storage Service（Amazon S3）存储桶。托管和自定义的 Security Hub 洞察有助于您跟踪亚马逊云科技环境中的安全问题。

安全标准是基于监管框架或行业最佳实践的一组控制措施。Security Hub CSPM 对控制措施进行自动化安全检查。每次安全检查均包含针对单个资源的规则评估。单个控制措施可能涉及多个资源（例如 IAM 用户），且针对每个资源执行安全检查。启用 Security Hub CSPM 后，其将针对每个控制措施以及与该控制措施关联的每个相关资源，立即开始运行持续的自动化安全检查。访问 Security Hub CSPM 标准参考，以了解有关受支持标准及相关控制措施的详细信息。

亚马逊基础安全最佳实践标准是由 Amazon Security 与具备特定亚马逊云科技产品知识的相关服务团队合作制定的一组控制措施。这些控制措施检测亚马逊云科技账户和资源何时偏离安全最佳实践。该标准允许您持续评估所有亚马逊云科技账户和工作负载，从而快速识别与最佳实践存在偏差的领域。它就如何改善和维护组织的安全状况提供切实可行且具有指导性的建议。这些控制措施包括针对多个亚马逊云科技服务资源的安全最佳实践，且每项控制措施都分配了一个类别，以反映其适用的安全功能。

Security Hub CSPM 分析来自多个亚马逊云科技服务的安全警报或调查发现，包括：Amazon Config、Amazon GuardDuty、Amazon Health、Amazon Inspector、Amazon Firewall Manager、Amazon IAM Access Analyzer 以及 Amazon IoT Device Defender。此外，请参阅与 Amazon Security Hub 集成且支持标准化调查发现格式的第三方合作伙伴产品集成列表。

增强版 Security Hub 很容易入门，尤其是在您使用其他亚马逊安全服务时。增强版 Security Hub 通过跨区域和跨账户的一键式设置实现统一部署，从而降低配置的复杂性。启用 Security Hub 时，会自动启用其基本服务和附加服务：用于状况管理的 Security Hub CSPM，用于漏洞管理的 Amazon Inspector 功能（包括 Amazon EC2 扫描、Amazon ECR 扫描和 Amazon Lambda 标准扫描），以及用于威胁检测分析的 Amazon GuardDuty。此统一启用可提供全面的安全防护，并让您充分利用 Security Hub 的自动化关联功能。您可以通过全新设计的控制台或 API 启用增强版 Security Hub。该流程旨在实现无缝连接，让您能够在不中断当前运营的情况下更清晰地了解自身的安全状况。

是的，如果您的主要需要是根据安全最佳实践评估亚马逊云科技资源，则可以继续使用 Security Hub CSPM。但是，我们建议您探索增强版 Security Hub，以便对关键安全问题进行优先级排序，并帮助您大规模地应对这些问题。增强版 Security Hub 可自动关联并增强跨多项功能的安全信号，将其转化为可操作的洞察，并提供自动化响应工作流程。这有助于您降低安全风险、提升团队工作效率，并将潜在的运营中断降至最低，同时全面掌握安全状况。

能。Security Hub CSPM 创建一个分数，向您展示您在安全标准方面的表现，并将其显示在 Security Hub 主控制面板上。当您单击进入安全标准时，您将看到需要注意的控制措施的摘要。Security Hub CSPM 显示如何评估控制措施，以及有关如何缓解问题的信息性最佳实践。

否，Security Hub CSPM 的重点是自动化安全检查。大多数安全标准都有各种无法以自动化方式检查的控制措施，这些控制措施超出 Security Hub CSPM 的范围。Security Hub CSPM 安全检查可以帮助您准备审核，但这并不代表您将通过与安全标准相关联的审核。

是。借助 Security Hub CSPM，您可以根据组织的特定需求自定义安全检查。这可通过自定义参数加以实现。例如，您可以定义强 IAM 密码的含义，或者删除未使用凭证或停止未使用实例的最长时间。

NIST SP 800-53 Rev. 5 是由美国国家标准与技术研究院（NIST）制定的网络安全与合规性框架，NIST 是美国商务部下属的机构。Security Hub CSPM 提供支持部分 NIST SP 800-53 要求的控制措施。这些控制措施通过自动化安全检查加以评估。Security Hub CSPM 文档详细介绍具体的控制措施，以及每项检查如何映射到特定的 CIS Amazon Foundations Benchmark 要求。

Security Hub CSPM 中的支付卡行业数据安全标准（PCI DSS）由一组亚马逊安全最佳实践控制措施组成。每项控制措施适用于一种特定的亚马逊云科技资源，并与一项或多项 PCI DSS 要求相关。Security Hub CSPM 现已同时支持 PCI DSS 3.2.1 版本和 4.0.1 版本。Security Hub CSPM 文档提供有关 Security Hub CSPM 的 PCI DSS 检查如何映射到特定 PCI DSS 要求的详细信息。

是的，您可以同时使用 Security Hub 和 Security Hub CSPM。增强版 Security Hub 是统一的云安全解决方案，包含多项服务（Security Hub CSPM 和 Amazon Inspector），并可与其他服务（如 Amazon GuardDuty）集成，以帮助您保护云环境。虽然您可以选择启用哪些服务，但我们建议您采用完整的统一解决方案，通过自动化关联以及跨安全信号的增强型上下文信息，帮助您大规模对关键安全问题进行优先级排序和响应。