中央配置的工作原理 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中央配置的工作原理

中心配置是 Security Hub 的一项功能,可帮助您跨多个 Amazon Web Services 账户 和 Amazon Web Services 区域设置和管理 Security Hub。要使用集中配置,必须先集成 Security Hub 和 Amazon Organizations。您可以通过创建组织并为该组织指定委托的 Security Hub 管理员账户来集成服务。

通过委托的 Security Hub 管理员账户,您可以指定如何在组织账户和跨区域的组织单元(OU)中配置 Security Hub 服务、安全标准和安全控件。只需几个步骤即可从一个主要区域(称为主区域)配置这些设置。如果您不使用中心配置,则必须在每个账户和区域中分别配置 Security Hub。

使用中心配置时,委托管理员可以选择要配置的账户和 OU。如果委托管理员将成员账户或 OU 指定为自行管理,则该成员可以在每个区域中单独配置自己的设置。如果委托管理员将成员账户或 OU 指定为集中管理,则只有委托管理员才能跨区域配置成员账户或 OU。您可以将组织中的所有账户和 OU 指定为集中管理、全部自行管理或两者兼而有之。

要配置集中管理的账户,委托管理员使用 Security Hub 配置策略。配置策略允许委托管理员指定是启用还是禁用 Security Hub,以及启用和禁用哪些标准和控件。它们还可以用来自定义某些控件的参数。

配置策略在主区域和所有关联区域生效。委托管理员在开始使用中心配置之前指定组织的主区域和关联区域。委托管理员可以为整个组织创建单个配置策略,也可以创建多个配置策略来为不同的账户和 OU 配置各种设置。

本部分提供中心配置概述。

中心配置的优势

中心配置的优势包括以下内容:

简化 Security Hub 服务和功能的配置

当您使用中心配置时,Security Hub 会引导您完成为组织配置安全最佳实践的过程。它还会将生成的配置策略自动部署到指定的账户和 OU。如果您已有 Security Hub 设置,例如自动启用新的安全控件,则可以将其用作配置策略的起点。此外,Security Hub 控制台上的配置页面会显示您的配置策略以及哪些账户和 OU 使用每种策略的实时摘要。

跨账户和区域进行配置

您可以使用中心配置跨多个账户和区域配置 Security Hub。这有助于确保组织的每个部分都保持一致的配置和足够的安全覆盖。

在不同的账户和 OU 中适配不同的配置

通过中心配置,您可以选择以不同的方式配置组织的账户和 OU。例如,您的测试账户和生产账户可能需要不同的配置。您还可以创建配置策略,以在新账户加入组织后涵盖这些新账户。

防止配置偏差

当用户对与委托管理员的选择冲突的服务或功能进行更改时,会发生配置偏差。中心配置可防止这种偏差。当您将账户或 OU 指定为集中管理时,只能由该组织的委托管理员对其进行配置。如果您希望特定账户或 OU 自行配置设置,则可以将其指定为自行管理。

谁应该使用中心配置?

对于包含多个 Security Hub 帐户的 Amazon 环境,集中配置最有利。它旨在帮助您集中管理多个账户的 Security Hub。

您可以使用中心配置来配置 Security Hub 服务、安全标准和安全控件。您也可以使用它来自定义某些控件的参数。有关标准和控件的信息,请参阅Security Hub 中的 Amazon 安全控制和标准

中心配置术语和概念

了解以下关键术语和概念可以帮助您使用 Security Hub 中心配置。

中心配置

Security Hub 的一项功能,可帮助组织委托的 Security Hub 管理员账户跨多个账户和区域配置 Security Hub 服务、安全标准和安全控件。要配置这些设置,委托管理员为其组织中的集中管理账户创建并管理 Security Hub 配置策略。自行管理账户可以在每个区域单独配置自己的设置。要使用集中配置,必须集成 Security Hub 和 Amazon Organizations。

主区域

委托管理员通过创建和管理配置策略 Amazon Web Services 区域 从中集中配置 Security Hub。配置策略在主区域和所有关联区域生效。

主区域还充当 Security Hub 聚合区域,接收来自关联区域的发现、见解和其他数据。

在 2019 年 3 月 20 日当天或之后 Amazon 推出的区域被称为选择加入区域。选择加入区域不能是主区域,但可以是关联区域。有关选择加入区域的列表,请参阅《Amazon 账户管理参考指南》中的启用和禁用区域之前的注意事项

关联区域

Amazon Web Services 区域 可以从家乡区域进行配置。配置策略由主区域的委托管理员创建。这些策略在主区域和所有关联的区域生效。您必须指定至少一个关联区域才能使用中心配置。

关联区域还会将调查发现、见解和其他数据发送到主区域。

在 2019 年 3 月 20 日当天或之后 Amazon 推出的区域被称为选择加入区域。必须先为账户启用这样的区域,然后才能对其应用配置策略。组织管理账户可以为成员账户启用选择加入区域。有关更多信息,请参阅《账户管理参考指南》中的指定 Amazon Web Services 区域 您的Amazon 账户可以使用哪个账户。

Security Hub 配置策略

一组 Security Hub 设置,委托管理员可以为集中管理的账户配置这些设置。这包括:

  • 是启用还是禁用 Security Hub。

  • 是否启用一个或多个安全标准

  • 在已启用的标准中启用哪些安全控件。委托管理员可以通过提供应启用的特定控件列表来实现此目的,Security Hub 会禁用所有其他控件(包括在新控件发布时直接禁用)。或者,委托管理员可以提供应禁用的特定控件列表,并且 Security Hub 会启用所有其他控件(包括在新控件发布时直接启用)。

  • (可选)在已启用的标准中为选定的已启用控件自定义参数

配置策略在与至少一个账户、组织单元(OU)或根关联后,将在主区域和所有关联区域中生效。

在 Security Hub 控制台上,委托管理员可以选择 Security Hub 推荐的配置策略或创建自定义配置策略。使用 Security Hub API 和 Amazon CLI,委托的管理员只能创建自定义配置策略。委托管理员最多可以创建 20 个自定义配置策略。

在推荐的配置策略中,Security Hub、 Amazon 基础安全最佳实践(FSBP)标准以及所有现有和新的 FSBP 控件均已启用。接受参数的控件使用默认值。推荐的配置策略适用于整个组织。

要对组织应用不同的设置,或者将不同的配置策略应用于不同的账户和 OU,请创建自定义配置策略。

本地配置

在集成 Security Hub 和之后,组织的默认配置类型 Amazon Organizations。通过本地配置,委托管理员可以选择在当前区域的组织账户中自动启用 Security Hub 和默认安全标准。如果委托管理员自动启用默认标准,则属于这些标准的所有控件也会自动启用,附带新组织账户的默认参数。这些设置不适用于现有账户,因此账户加入组织后可能会出现配置偏差。必须分别在每个账户和区域中禁用属于默认标准的特定控件以及配置其他标准和控件。

本地配置不支持使用配置策略。要使用配置策略,必须切换到中心配置。

手动账户管理

如果您未将 Security Hub 与 Security Hub 集成, Amazon Organizations 或者您拥有独立账户,则必须在每个地区分别为每个账户指定设置。手动账户管理不支持使用配置策略。

中心配置 API

只有 Security Hub 委托的 Security Hub 管理员才能使用的 Security Hub 操作,可用于在主区域中集中管理账户的配置策略。操作包括:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

特定于账户的 API

Security Hub 操作,可用于 account-by-account 根据需要启用或禁用 Security Hub、标准和控件。这些操作用于每个单独的区域。

自行管理账户可以使用特定于账户的操作来配置自己的设置。集中管理的账户不能在主区域和关联区域使用以下特定于账户的操作。在这些区域中,只有委托管理员才能通过中心配置操作和配置策略对集中管理的账户进行配置。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

要查看账户状态,集中管理的账户的所有者可以使用 Security Hub API 的任何GetDescribe操作。

如果您使用本地配置或手动账户管理,而不是中心配置,则可以使用这些特定于账户的操作。

自行管理的账户也可以使用*Invitations*Members操作。但是,我们建议自行管理的账户不要使用这些操作。如果成员账户的成员与委派的管理员属于不同的组织,则策略关联可能会失败。

组织部门(OU)

在 an Amazon Organizations d Security Hub 中,一个容器可以容纳一群人 Amazon Web Services 账户。组织单元(OU)还可以包含其他 OU,这使您能够创建类似于倒置树的层次结构,父 OU 位于顶部,OU 分支向下延伸,结束于作为树叶的账户。一个 OU 有且仅有一个父级,账户可能是且仅是一个 OU 的成员。

您可以在 Amazon Organizations 或中管理 OU Amazon Control Tower。有关更多信息,请参阅《Amazon Organizations 用户指南》中的管理组织单元 或《Amazon Control Tower 用户指南》中的使用 Amazon Control Tower管理组织和账户

委托管理员可以将配置策略与特定账户或 OU 关联,或者将配置策略与根关联以涵盖组织中的所有账户和 OU。

集中管理

只有委托管理员才能使用配置策略跨区域配置的账户、OU 或根。

委托管理员账户指定是否集中管理账户。委托管理员还可以将账户的状态从集中管理更改为自行管理,或者从自行管理更改为集中管理。

自行管理

管理自己的 Security Hub 设置的账户、组织单元或根。自行管理账户使用特定于账户的操作在每个区域中为自己单独配置 Security Hub。这与集中管理的账户形成鲜明对比,后者只能由委托管理员通过配置策略跨区域进行配置。

委托管理员账户指定账号是否为自行管理账户。委托管理员账户也可以将账户的状态从自行管理更改为集中管理,或者从集中管理更改为自行管理。

委托管理员可以对账户或 OU 应用自行管理行为。或者,账户或 OU 可以继承父代的自行管理行为。委托管理员账户本身可以是自行管理账户。

配置策略关联

配置策略与账户、组织单元(OU)或根之间的链接。当存在策略关联时,账户、OU 或根将使用配置策略定义的设置。在以下任一情况下都存在关联:

  • 当委托管理员直接将配置策略应用于账户、OU 或根时

  • 当账户或 OU 从父 OU 或根继承配置策略时

在应用或继承不同的配置之前,关联一直存在。

应用的配置策略

一种配置策略关联,在这种关联中,委托管理员将配置策略直接应用于目标账户、OU 或根。目标按照配置策略定义的方式进行配置,只有委托管理员才能更改其配置。如果应用于根,则该配置策略会影响组织中所有未使用不同配置(通过应用或来自最接近的父级的继承)的账户和 OU。

委托管理员还可以将自行管理的配置应用于特定账户、OU 或根。

继承的配置策略

一种配置策略关联,在这种关联中,账户或 OU 采用最近的父 OU 或根的配置。如果配置策略未直接应用于账户或 OU,则它会继承最近的父级的配置。策略的所有元素都是继承的。换句话说,账户或 OU 不能选择仅继承策略中自己选择的一部分内容。如果最近的父级是自行管理的,则子账户或 OU 将继承父级的自行管理行为。

继承不能覆盖已应用的配置。也就是说,如果将配置策略或自行管理配置直接应用于账户或 OU,则它将使用该配置,并且不会继承父级的配置。

在 Amazon Organizations 和 Security Hub 中,组织中的顶级父节点。如果委托管理员将配置策略应用于根,则该策略将与组织中的所有账户和 OU 关联,除非他们通过应用或继承使用不同的策略,或者被指定为自行管理。如果管理员将根指定为自行管理,则组织中的所有账户和 OU 都是自行管理的,除非他们通过应用或继承使用配置策略。如果根是自行管理的,并且当前不存在任何配置策略,则组织中的所有新账户都将保留其当前设置。

加入组织的新账户在被分配到特定 OU 之前一直处于根之下。如果未将新账户分配给 OU,则该账户将继承根配置,除非委托管理员将其指定为自行管理账户。