了解 Security Hub 中的中心配置 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解 Security Hub 中的中心配置

中心配置是 Security Hub 的一项功能,可帮助您跨多个 Amazon Web Services 账户 和 Amazon Web Services 区域 设置和管理 Security Hub。要使用中心配置,必须先集成 Security Hub 和 Amazon Organizations。您可以通过创建组织并为该组织指定委托的 Security Hub 管理员账户来集成服务。

通过委托的 Security Hub 管理员账户,您可以指定如何在组织账户和跨区域的组织单元(OU)中配置 Security Hub 服务、安全标准和安全控件。只需几个步骤即可从一个主要区域(称为主区域)配置这些设置。

使用中心配置时,委托管理员可以选择要配置的账户和 OU。如果委托管理员将成员账户或 OU 指定为自行管理,则该成员可以在每个区域中单独配置自己的设置。如果委托管理员将成员账户或 OU 指定为集中管理,则只有委托管理员才能跨区域配置成员账户或 OU。您可以将组织中的所有账户和 OU 指定为集中管理、全部自行管理或两者兼而有之。

要配置集中管理的账户,委托管理员使用 Security Hub 配置策略。配置策略允许委托管理员指定是启用还是禁用 Security Hub,以及启用和禁用哪些标准和控件。它们还可以用来自定义某些控件的参数。

配置策略在主区域和所有关联区域生效。委托管理员在开始使用中心配置之前指定组织的主区域和关联区域。指定关联区域是可选的。委托管理员可以为整个组织创建单个配置策略,也可以创建多个配置策略来为不同的账户和 OU 配置各种设置。

提示

如果您不使用中心配置,则必须主要在每个账户和区域中单独配置 Security Hub。这称为本地配置。在本地配置下,委托管理员可以在当前区域的新组织账户中自动启用 Security Hub 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。

本部分提供中心配置概述。

使用中心配置的优势

中心配置的优势包括以下内容:

简化 Security Hub 服务和功能的配置

当您使用中心配置时,Security Hub 会引导您完成为组织配置安全最佳实践的过程。它还会将生成的配置策略自动部署到指定的账户和 OU。如果您已有 Security Hub 设置,例如自动启用新的安全控件,则可以将其用作配置策略的起点。此外,Security Hub 控制台上的配置页面会显示您的配置策略以及哪些账户和 OU 使用每种策略的实时摘要。

跨账户和区域进行配置

您可以使用中心配置跨多个账户和区域配置 Security Hub。这有助于确保组织的每个部分都保持一致的配置和足够的安全覆盖。

在不同的账户和 OU 中适配不同的配置

通过中心配置,您可以选择以不同的方式配置组织的账户和 OU。例如,您的测试账户和生产账户可能需要不同的配置。您还可以创建配置策略,以在新账户加入组织后涵盖这些新账户。

防止配置偏差

当用户对与委托管理员的选择冲突的服务或功能进行更改时,会发生配置偏差。中心配置可防止这种偏差。当您将账户或 OU 指定为集中管理时,只能由该组织的委托管理员对其进行配置。如果您希望特定账户或 OU 自行配置设置,则可以将其指定为自行管理。

何时使用中心配置?

对于包含多个 Security Hub 账户的 Amazon 环境,中心配置最有利。它旨在帮助您集中管理多个账户的 Security Hub。

您可以使用中心配置来配置 Security Hub 服务、安全标准和安全控件。您也可以使用它来自定义某些控件的参数。有关安全标准的更多信息,请参阅 了解 Security Hub 中的安全标准。有关安全控件的更多信息,请参阅了解 Security Hub 中的安全控件

中心配置术语和概念

了解以下关键术语和概念可以帮助您使用 Security Hub 中心配置。

中心配置

Security Hub 的一项功能,可帮助组织委托的 Security Hub 管理员账户跨多个账户和区域配置 Security Hub 服务、安全标准和安全控件。要配置这些设置,委托管理员为其组织中的集中管理账户创建并管理 Security Hub 配置策略。自行管理账户可以在每个区域单独配置自己的设置。要使用中心配置,必须集成 Security Hub 和 Amazon Organizations。

主区域

Amazon Web Services 区域,委托管理员通过创建和管理配置策略从中集中配置 Security Hub。配置策略在主区域和所有关联区域生效。

主区域还充当 Security Hub 聚合区域,接收来自关联区域的发现、见解和其他数据。

Amazon 在 2019 年 3 月 20 日当日或之后推出的区域称为选择加入区域。选择加入区域不能是主区域,但可以是关联区域。有关选择加入区域的列表,请参阅《Amazon 账户管理参考指南》中的启用和禁用区域之前的注意事项

关联区域

从主区域进行配置的 Amazon Web Services 区域。配置策略由主区域的委托管理员创建。这些策略在主区域和所有关联的区域生效。指定关联区域是可选的。

关联区域还会将调查发现、见解和其他数据发送到主区域。

Amazon 在 2019 年 3 月 20 日当日或之后推出的区域称为选择加入区域。必须先为账户启用这样的区域,然后才能对其应用配置策略。组织管理账户可以为成员账户启用选择加入区域。有关手动启用的区域的信息,请参阅《Amazon 账户管理参考指南》中的指定您的账户可以使用的 Amazon Web Services 区域

目标

Amazon Web Services 账户、组织单位(OU)或组织根。

Security Hub 配置策略

一组 Security Hub 设置,委托管理员可以为集中管理的目标配置这些设置。这包括:

  • 是启用还是禁用 Security Hub。

  • 是否启用一个或多个安全标准

  • 在已启用的标准中启用哪些安全控件。委托管理员可以通过提供应启用的特定控件列表来实现此目的,Security Hub 会禁用所有其他控件(包括在新控件发布时直接禁用)。或者,委托管理员可以提供应禁用的特定控件列表,并且 Security Hub 会启用所有其他控件(包括在新控件发布时直接启用)。

  • (可选)在已启用的标准中为选定的已启用控件自定义参数

配置策略在与至少一个账户、组织单元(OU)或根关联后,将在主区域和所有关联区域中生效。

在 Security Hub 控制台上,委托管理员可以选择 Security Hub 推荐的配置策略或创建自定义配置策略。使用 Security Hub API 和 Amazon CLI,委托管理员只能创建自定义配置策略。委托管理员最多可以创建 20 个自定义配置策略。

在推荐的配置策略中,Security Hub、Amazon 基础安全最佳实践(FSBP)标准以及所有现有和新的 FSBP 控件均已启用。接受参数的控件使用默认值。推荐的配置策略适用于整个组织。

要对组织应用不同的设置,或者将不同的配置策略应用于不同的账户和 OU,请创建自定义配置策略。

本地配置

在集成 Security Hub 和之后,组织的默认配置类型 Amazon Organizations。通过本地配置,委托管理员可以选择在当前区域的组织账户中自动启用 Security Hub 和默认安全标准。如果委托管理员自动启用默认标准,则属于这些标准的所有控件也会自动启用,附带新组织账户的默认参数。这些设置不适用于现有账户,因此账户加入组织后可能会出现配置偏差。必须分别在每个账户和区域中禁用属于默认标准的特定控件以及配置其他标准和控件。

本地配置不支持使用配置策略。要使用配置策略,必须切换到中心配置。

手动账户管理

如果您未将 Security Hub 与 Amazon Organizations 集成,或者您拥有独立账户,则必须在每个区域分别为每个账户指定设置。手动账户管理不支持使用配置策略。

中心配置 API

只有 Security Hub 委托的 Security Hub 管理员才能使用的 Security Hub 操作,可用于在主区域中集中管理账户的配置策略。操作包括:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

特定于账户的 API

Security Hub 操作,可用于逐个账户启用或禁用 Security Hub、标准和控件。这些操作用于每个单独的区域。

自行管理账户可以使用特定于账户的操作来配置自己的设置。集中管理的账户不能在主区域和关联区域使用以下特定于账户的操作。在这些区域中,只有委托管理员才能通过中心配置操作和配置策略对集中管理的账户进行配置。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

要查看账户状态,集中管理账户的所有者可以使用 Security Hub API 的任何 GetDescribe 操作。

如果您使用本地配置或手动账户管理,而不是中心配置,则可以使用这些特定于账户的操作。

自行管理账户也可以使用 *Invitations*Members 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委托管理员属于不同的组织,则策略关联可能会失败。

组织部门(OU)

在 Amazon Organizations 和 Security Hub 中,一组 Amazon Web Services 账户 的容器。组织单元(OU)还可以包含其他 OU,这使您能够创建类似于倒置树的层次结构,父 OU 位于顶部,OU 分支向下延伸,结束于作为树叶的账户。一个 OU 有且仅有一个父级,账户可能是且仅是一个 OU 的成员。

您可以在 Amazon Organizations 或 Amazon Control Tower 中管理 OU。有关更多信息,请参阅《Amazon Organizations 用户指南》中的管理组织单元 或《Amazon Control Tower 用户指南》中的使用 Amazon Control Tower 管理组织和账户

委托管理员可以将配置策略与特定账户或 OU 关联,或者将配置策略与根关联以涵盖组织中的所有账户和 OU。

集中管理

只有委托管理员才能使用配置策略跨区域配置的目标。

委托管理员账户指定是否集中管理目标。委托管理员还可以将目标的状态从集中管理更改为自行管理,或者从自行管理更改为集中管理。

自行管理

管理自己的 Security Hub 设置的目标。自行管理目标使用特定于账户的操作在每个区域中为自己单独配置 Security Hub。这与集中管理目标形成鲜明对比,后者只能由委托管理员通过配置策略跨区域进行配置。

委托管理员账户指定目标是否为自行管理目标。委托管理员可以对目标应用自行管理行为。或者,账户或 OU 可以继承父代的自行管理行为。

委托管理员账户本身可以是自行管理账户。委托管理员账户可以将目标的状态从自行管理更改为集中管理,或者反过来。

配置策略关联

配置策略与账户、组织单元(OU)或根之间的链接。当存在策略关联时,账户、OU 或根将使用配置策略定义的设置。在以下任一情况下都存在关联:

  • 当委托管理员直接将配置策略应用于账户、OU 或根时

  • 当账户或 OU 从父 OU 或根继承配置策略时

在应用或继承不同的配置之前,关联一直存在。

应用的配置策略

一种配置策略关联,在这种关联中,委托管理员将配置策略直接应用于目标账户、OU 或根。目标按照配置策略定义的方式进行配置,只有委托管理员才能更改其配置。如果应用于根,则该配置策略会影响组织中所有未使用不同配置(通过应用或来自最接近的父级的继承)的账户和 OU。

委托管理员还可以将自行管理的配置应用于特定账户、OU 或根。

继承的配置策略

一种配置策略关联,在这种关联中,账户或 OU 采用最近的父 OU 或根的配置。如果配置策略未直接应用于账户或 OU,则它会继承最近的父级的配置。策略的所有元素都是继承的。换句话说,账户或 OU 不能选择仅继承策略中自己选择的一部分内容。如果最近的父级是自行管理的,则子账户或 OU 将继承父级的自行管理行为。

继承不能覆盖已应用的配置。也就是说,如果将配置策略或自行管理配置直接应用于账户或 OU,则它将使用该配置,并且不会继承父级的配置。

在 Amazon Organizations 和 Security Hub 中,组织中的顶级父节点。如果委托管理员将配置策略应用于根,则该策略将与组织中的所有账户和 OU 关联,除非他们通过应用或继承使用不同的策略,或者被指定为自行管理。如果管理员将根指定为自行管理,则组织中的所有账户和 OU 都是自行管理的,除非他们通过应用或继承使用配置策略。如果根是自行管理的,并且当前不存在任何配置策略,则组织中的所有新账户都将保留其当前设置。

加入组织的新账户在被分配到特定 OU 之前一直处于根之下。如果未将新账户分配给 OU,则该账户将继承根配置,除非委托管理员将其指定为自行管理账户。