一般性问题
问:什么是 Amazon Security Hub?
通过 Amazon Security Hub,您可以全面了解 亚马逊云科技内的安全状态,以及您对安全标准和最佳实践的合规性。Security Hub 将来自 亚马逊云科技账户、服务和受支持的第三方合作伙伴的安全性调查结果集中在一起,并设置其优先级,从而帮助您分析安全趋势并确定最高优先级的安全问题。
问:Amazon Security Hub 的关键优势是什么?
Amazon Security Hub 消除了复杂性,并减少了管理和改善 亚马逊云科技账户和工作负载安全性的工作量。Amazon Security Hub 服务在特定区域内只需几分钟即可启用,可帮助您回答每天可能遇到的基本安全性问题。
关键优势包括:
调查结果的集中化和规范化可节省时间 – Security Hub 收集来自在您的 亚马逊云科技账户中启用的安全服务的调查结果题,例如来自 Amazon Systems Manager Patch Manager 的不合规 EC2 实例,以及来自 Amazon IAM Access Analyzer 的公共资源识别。Security Hub 还使用标准化的 亚马逊云科技Security Finding 格式收集来自合作伙伴安全产品的调查结果,从而消除了耗时的数据解析和规范化工作。客户可以指定一个主账户,用于查看其账户中的所有调查结果。
通过自动化检查提高安全性 – Security Hub 根据支持的行业最佳实践和标准(例如,互联网安全中心 (CIS) Amazon Foundations Benchmark)中的规则,通过运行持续的自动化账户和资源级别配置检查,生成其自己的调查结果。
对调查结果快速采取措施 – Security Hub 将调查结果聚合到预构建的控制面板中,该控制面板提供了条形图、折线图和表格,向您展示您的环境的当前安全状态以及趋势。现在,您可以轻松确定潜在问题,并采取必要的后续步骤。例如,您可以使用与 Amazon CloudWatch Events 的集成,将调查结果发送到票务、聊天、电子邮件或自动补救系统。
问:Amazon Security Hub 的费用是多少?
请参阅 Amazon Security Hub 定价页面,了解最新的定价信息。请注意,在使用 Security Hub 的账户中必须启用 Amazon Config。Amazon Security Hub 安全检查使用 Amazon Config 记录的配置项。如果您还没有使用 Amazon Config,请参阅 Config 定价页面,了解每个记录的配置项价格的最新信息。Security Hub 安全检查启用的 Amazon Config 规则不收取额外费用。
问:Amazon Security Hub 是区域性服务还是全球性服务?
Amazon Security Hub 是一个区域性服务。这样可以确保分析的所有调查结果数据都基于区域,并且不会跨越 亚马逊云科技区域边界。客户必须在每个区域中启用 Security Hub,才能查看该区域的调查结果。
问:Amazon Security Hub 支持哪些区域?
此处列出了 Amazon Security Hub 的区域可用性: 亚马逊云科技区域表,包括由光环新网运营的 亚马逊云科技中国(北京)区域以及由西云数据运营的 亚马逊云科技中国(宁夏)区域中的可用性。
问:哪些合作伙伴使用 Amazon Security Hub?
有很多技术合作伙伴支持标准化的调查结果格式,并且已经与 Amazon Security Hub 集成。请查看 Amazon Security Hub 合作伙伴。
开始使用 Amazon Security Hub
问:如何启用 Amazon Security Hub?
首次打开 Security Hub 控制台时,只需选择“开始使用”,然后选择“启用”。Amazon Security Hub 使用与服务相关的角色,其中包括 Security Hub 要求的权限和信任策略,用于检测和聚合调查结果,以及配置运行安全检查所需的必不可少的 Amazon Config 基础设施。为了使 Security Hub 能够在账户中运行安全检查,您必须在该账户中启用 Amazon Config。
问:Amazon Security Hub 是否有助于跨多个 亚马逊云科技账户管理安全性?
是的,通过在 Security Hub 中配置多账户层次结构,您就可以管理某个区域内的多个账户。
问:什么是调查结果?
调查结果是潜在的安全问题。Security Hub 对来自 亚马逊云科技和第三方服务的安全警报或调查结果进行聚合、规范化,并设置其优先级,以及在运行持续的自动化配置检查后生成其自己的调查结果。调查结果提取事件是指将新调查结果提取到 Security Hub 中时或将调查结果更新提取到 Security Hub 中时。
问:什么是见解?
见解是相关调查结果的集合。Security Hub 使用筛选器提供托管的见解,您可以针对自己的独特环境进一步定制筛选器。例如,见解有助于识别缺少有关重要漏洞的安全补丁或具有公共读取或写入权限的 S3 存储桶的 EC2 实例。托管和自定义的 Security Hub 见解有助于您跟踪 亚马逊云科技环境中的安全问题。
问:安全标准、控制措施以及安全检查之间的关系是什么?
安全标准是基于监管框架或行业最佳实践的一组控制措施。Security Hub 对控制措施进行自动化安全检查。每次安全检查均包含针对单个资源的规则评估。单个控制措施可能涉及多个资源(例如 IAM 用户),并且针对每个资源执行安全检查。例如,Security Hub 支持 CIS 亚马逊云科技Foundations Benchmark 标准,它由 43 个控制措施构成。启用 Security Hub 后,它将针对每个控制措施以及与该控制措施关联的每个相关资源,立即开始运行持续的自动化安全检查。
问:Amazon Security Hub 分析哪些调查结果来源?
Amazon Security Hub 分析来自以下 亚马逊云科技服务的安全警报或调查结果:Amazon Systems Manager Patch Manager 和 IAM Access Analyzer。此外,请查看与 Security Hub 集成并支持标准化调查结果格式的 Amazon Security Hub 合作伙伴解决方案列表。
问:Amazon Config 和 Amazon Config 规则与 Amazon Security Hub 有何关系?
Amazon Security Hub 是一项安全性与合规性服务,可提供安全性与合规性状况管理。该服务使用 Amazon Config 和 Config 规则作为其主要机制来评估 亚马逊云科技资源的配置。Amazon Config 规则也可以用于直接评估资源配置。
问:何时使用 Amazon Security Hub 和 Amazon Config 一致性包?
如果 Amazon Security Hub 中已经存在支付卡行业数据安全标准 (PCI-DSS) 之类的合规性标准,则完全托管的 Amazon Security Hub 服务是实现它的最简单方法。您可以使用 Security Hub 的 Amazon CloudWatch 事件集成来制定自动化或半自动化补救措施。但是,如果您要组合自己的合规性或安全性标准(其中可能包括安全检查、运营检查或成本优化检查),则可以使用 Amazon Config 一致性包。通过将一组 Amazon Config 规则和相关的补救措施打包到单个实体中,Amazon Config 一致性包简化了 Amazon Config 规则的管理。这种打包简化了组织中规则和补救措施的部署。它还支持聚合的报告,因为合规性摘要可以在包级别进行报告。您可以从我们提供的 Amazon Config 一致性示例开始,并根据需要自定义。
问:Amazon Security Hub 和 Amazon Config 一致性包是否均支持持续监控?
是的,考虑到它们依赖于 Amazon Config 和 Config 规则,Amazon Security Hub 和 Amazon Config 一致性包均支持持续合规性监控。基础的 Amazon Config 规则可以定期触发,也可以在检测到资源配置的更改时触发。这样,您可以持续审核和评估您的 亚马逊云科技资源配置是否在整体上符合您所在组织的策略和准则。
使用 Amazon Security Hub
问:如何在 Amazon security Hub 中查看我最重要的安全问题是什么?
有多种方法可以查看最重要的安全问题。Security Hub 控制面板提供了多种视图,其中显示哪些资源具有最多的调查结果、您的安全调查结果量如何随时间变化、哪些见解生成的最多的调查结果。您可以访问见解页面,并使用托管的见解来确定高优先级问题。您还可以创建自己的自定义见解。
问:Security Hub 能否告诉我如何依据安全最佳实践或安全标准进行衡量?
能。Security Hub 创建一个分数,向您展示您在安全标准方面的表现,并将其显示在 Security Hub 主控制面板上。当您单击到安全标准时,您将看到需要注意的控制措施的摘要。Security Hub 显示了如何评估控制措施,以及有关如何缓解问题的信息性最佳实践。
问:如果我在安全标准方面得分是 100%,这是否意味着我将通过该安全标准的审核?
不是的,Security Hub 的重点是自动化安全检查。大多数安全标准都有各种无法以自动化方式检查的控制措施,这些控制措施超出了 Security Hub 的范围。Security Hub 安全检查可以帮助您准备审核,但这并不表明您将通过与安全标准相关联的审核。
问:Security Hub 如何设置我最需要的安全数据的优先级?
Security Hub 使用两种机制来帮助设置调查结果的优先级:见解和安全标准。见解是分组或相关的调查结果,可帮助您更快地确定更高优先级的调查结果。见解的示例:“向我展示所有可能感染了恶意软件的 EC2 实例”和“向我展示 EC2 实例上任何可能的数据泄露情况”。
安全标准是一组基于监管要求或最佳实践的控制措施。亚马逊云科技定义了特定的安全检查(与标准中的控制措施一致)。例如,受支持的 Security Hub 标准是 CIS 亚马逊云科技Foundations Benchmark。
问:Security Hub 如何与现有的安全操作和修复过程集成?
Security Hub 允许通过 CloudWatch 事件导出发现结果,从而支持工作流选项。您可以使用 CloudWatch 事件设置与以下项的集成:聊天系统、经由 Amazon Lambda、Amazon Systems Manager Automation 文档或 亚马逊云科技Step Functions 的自动修复管道、SIEM(例如 IBM QRadar)以及服务单系统。
问:Security Hub 是否会取代我们其他安全服务的控制台,如 Amazon IAM Access Analyzer?
不会的,Security Hub 是对 亚马逊云科技安全服务的补充和增加。事实上,Security Hub 将链接回其他控制台,以帮助您获得更多上下文。Security Hub 不会复制每个安全服务内提供的设置、配置或专用功能。
问:我部署了CIS Amazon Foundations Benchmark QuickStart,但是 Security Hub CIS 安全标准显示我的一些检查失败了,这是为什么呢?
QuickStart 解决方案设计作为单个账户和单个区域模板,适用于涵盖检查 1.1、2.1-2.7 以及 3.1-3.14 的一些强化控制措施。QuickStart 包含一个必备模板,它仅在单个区域中部署跟踪。由于 CIS 检查 1.1、2.1-2.5、2.7 以及 3.1-3.14 要求使用多区域跟踪,因此这些检查在 Security Hub CIS 安全标准中失败。[请注意,CIS QuickStart 解决方案仅对以下检查实施强化控制:1.1、2.1-2.7 以及 3.1-3.14。其余检查不是由 CIS QuickStart 负责。] 此外,QuickStart“监控”检查 3.2、3.4、3.5 和 3.8-3.14 都是使用 CloudWatch 事件实现的,而不是使用 CloudWatch 指标筛选器,这也会导致上述检查在 Security Hub CIS 安全标准中失败。
问:Security Hub 支持 PCI DSS 的哪些特定控制措施?
Security Hub 中的支付卡行业数据安全标准 (PCI DSS) 由一组 亚马逊云科技安全最佳实践控制措施组成。每项控制措施适用于一种特定的 亚马逊云科技资源,并与一项或多项 PCI DSS 3.2.1 要求相关。Security Hub 的文档提供了有关 Security Hub 的 PCI DSS 检查如何映射到特定 PCI DSS 要求的详细信息。
