本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置策略在 Security Hub 中的工作原理
受委托的 Amazon Security Hub 管理员可以创建配置策略来为组织配置 Security Hub、安全标准和安全控制。创建配置策略后,授权的管理员可以将其与特定账户、组织单位 (OUs) 或根相关联。然后,该策略在指定的账户或根账户中生效。OUs
有关中央配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中央配置。
本节详细概述了配置策略。
策略注意事项
在 Security Hub 中创建配置策略之前,请注意以下事项。
必须关联配置策略才能生效 — 创建配置策略后,可以将其与一个或多个账户、组织单位 (OUs) 或根相关联。配置策略可以与账户关联,也可以OUs通过直接应用程序关联,也可以通过从父 OU 继承来关联。
一个账户或 OU 只能与一个配置策略相关联 — 为防止设置冲突,一个账户或 OU 在任何给定时间只能与一个配置策略相关联。或者,也可以对账户或 OU 进行自行管理。
配置策略已完成 — 配置策略提供了完整的设置规范。例如,子账户不能接受一个策略中的某些控件的设置和另一个策略中其他控件的设置。当您将策略与子账户关联时,请确保该策略指定了您希望该子账户使用的所有设置。
配置策略无法恢复 — 在将配置策略与账户关联后,无法选择恢复配置策略或OUs。例如,如果您将禁用 CloudWatch 控件的配置策略与特定账户关联,然后取消该策略的关联,则该账户中的 CloudWatch 控件将继续处于禁用状态。要再次启用 CloudWatch 控件,您可以将该账户与启用控件的新策略相关联。或者,您可以将帐户更改为自我管理并启用帐户中的每个 CloudWatch 控件。
配置策略在您的主区域和所有关联区域生效 — 配置策略会影响主区域中的所有关联账户以及所有关联区域。您无法创建仅在其中某些区域生效而不在其他区域生效的配置策略。唯一的例外是使用全局资源的控件。Security Hub 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。
那些地区 Amazon 在 2019 年 3 月 20 日当天或之后推出的区域被称为选择加入区域。必须先为账户启用这样的区域,然后配置策略才会在该区域生效。组织管理账户可以为成员账户启用选择加入区域。有关启用可选区域的说明,请参阅指定哪个区域 Amazon Web Services 区域 您的账户可以在 Amazon 账户管理参考指南。
如果您的策略配置的控件在主区域或一个或多个关联区域中不可用,Security Hub 则会跳过不可用区域中的控制配置,但会在有该控件可用的区域中应用该配置。您无法获得在主区域或任何关联区域中不可用的控件的保障。
配置策略就是资源 — 作为资源,配置策略具有 Amazon 资源名称 (ARN) 和通用唯一标识符 (UUID)。ARN使用以下格式:
arn:
. 自我管理的配置没有ARN或UUID。自我管理配置的标识符是partition:
securityhub:region
:delegated administrator account ID
:configuration-policy/configuration policy UUID
SELF_MANAGED_SECURITY_HUB
。
配置策略的类型
每个配置策略指定以下设置:
中央配置策略不包括 Amazon Config 录音机设置。您必须单独启用 Amazon Config 并开启所需资源的录制功能,以便 Security Hub 生成控制结果。有关更多信息,请参阅 配置 Amazon Config 适用于 Security Hub。
如果您使用中央配置,Security Hub 会自动禁用涉及除本地区之外的所有区域的全球资源的控件。您选择通过配置策略启用的其他控件将在所有可用区域中启用。要将这些控件的结果限制在一个区域内,您可以更新您的 Amazon Config 录制器设置并关闭除主区域之外的所有区域的全局资源录制。当你使用中央配置时,你无法覆盖主区域或任何关联区域中不可用的控件。有关涉及全局资源的控件列表,请参阅使用全局资源的控件。
建议的配置策略
首次在 Security Hub 控制台中创建配置策略时,您可以选择 Security Hub 推荐的策略。
推荐的策略启用 Security Hub, Amazon 基础安全最佳实践 (FSBP) 标准,以及所有现有和新的FSBP控件。接受参数的控件使用默认值。推荐的策略适用于 root(所有账户OUs,包括新账户和现有账户)。为您的组织创建推荐的策略后,您可以通过委托管理员账户对其进行修改。例如,您可以启用其他标准或控件或禁用特定FSBP控件。有关修改配置策略的说明,请参阅更新配置策略。
自定义配置策略
委托管理员最多可以创建 20 个自定义配置策略,而不是推荐的策略。您可以将单个自定义策略与整个组织相关联,也可以将不同的自定义策略与不同的账户相关联,以及OUs。对于自定义配置策略,您可以指定所需的设置。例如,您可以创建一个自定义策略来启用 FSBP Internet 安全中心 (CIS) Amazon Foundations Benchmark v1.4.0,以及这些标准中的所有控件,但亚马逊 Redshift 控件除外。您在自定义配置策略中使用的粒度级别取决于整个组织的预期安全覆盖范围。
注意
您无法将禁用 Security Hub 的配置策略与委托管理员账户相关联。这样的策略可以与其他账户关联,但会跳过与委托管理员的关联。委托管理员账户保留其当前配置。
创建自定义配置策略后,您可以更新配置策略,切换到推荐的配置策略,从而反映推荐的配置。但是,在创建第一个策略后,您无法在 Security Hub 控制台中看到创建推荐配置策略的选项。
通过应用和继承进行策略关联
当你第一次选择使用中心配置时,你的组织没有任何关联关系,其行为方式与选择加入之前相同。然后,授权的管理员可以在配置策略或自我管理的行为和帐户(或根帐户)之间建立关联。OUs可以通过应用或继承来建立关联。
通过委托管理员账户,您可以直接将配置策略应用于账户、OU 或根。或者,授权管理员可以直接将自我管理的指定应用于账户、OU 或根。
在没有直接应用程序的情况下,账户或 OU 会继承具有配置策略或自我管理行为的最近的家长的设置。如果最近的父级与配置策略相关联,则子级将继承该策略,并且只能由来自主区域的委托管理员进行配置。如果最亲近的父母是自我管理的,则孩子继承自我管理的行为,并且能够在每个行为中指定自己的设置 Amazon Web Services 区域.
应用程序优先于继承。换句话说,继承不会覆盖委派管理员直接应用于账户或 OU 的配置策略或自我管理指定。
如果您直接将配置策略应用于自我管理的账户,则该策略将覆盖自我管理的指定。该账户将进行集中管理,并采用配置策略中反映的设置。
我们建议直接将配置策略应用于根目录。如果您对根应用策略,则加入组织的新账户将自动继承根策略,除非您将这些账户与其他策略关联或将其指定为自行管理。
在给定时间,只能通过应用或继承将配置策略与账户或 OU 关联。这旨在防止设置冲突。
下图说明了策略应用和继承在中心配置中的工作原理。
在此示例中,以绿色突出显示的节点具有已应用于该节点的配置策略。以蓝色突出显示的节点不具有已应用于该节点的配置策略。以黄色突出显示的节点已被指定为自行管理。每个账户和 OU 都使用以下配置:
OU:Root(绿色)— 此 OU 使用已应用于它的配置策略。
OU:Prod(蓝色)— 此 OU 继承了 OU:Root 的配置策略。
OU:Applications(绿色)— 此 OU 使用已应用于它的配置策略。
账户 1(绿色)— 此账户使用已应用于它的配置策略。
账户 2(蓝色)-此账户继承了 OU:Applications 的配置策略。
OU:Dev(黄色)— 此 OU 是自行管理的。
账户 3(绿色)— 此账户使用已应用于它的配置策略。
账户 4(蓝色)— 此账户继承了 OU:Dev 的自行管理行为。
OU:Test(蓝色)— 此 OU 继承了 OU:Root 的配置策略。
账户 5(蓝色)— 此账户继承了 OU:Root 的配置策略,因为其直系父级 OU:Test 未与配置策略关联。
测试配置策略
为确保您了解配置策略的工作原理,我们建议您创建一个策略并将其与测试账户或 OU 关联。
要测试配置策略
创建自定义配置策略。验证 Security Hub 的启用状况、标准和控件的指定设置是否正确。
将配置策略应用于没有任何子账号的测试账号或 OU 或OUs。
验证测试账户或 OU 在您的主区域和所有关联区域中是否按预期方式使用配置策略。您还可以验证组织OUs内的所有其他账户是否保持自我管理状态,并且可以在每个区域中更改自己的设置。
在单个账户或 OU 中测试配置策略后,您可以将其与其他账户关联和OUs。