Security Hub 配置策略的工作原理 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 配置策略的工作原理

委托管理员账户可以创建Amazon Security Hub配置策略,以便在组织中配置 Security Hub、安全标准和安全控制。创建配置策略后,委托管理员可以将其与账户、组织部门(OU)或根关联。委托管理员还可以查看、编辑或删除配置策略。

策略注意事项

在 Security Hub 中创建配置策略之前,请注意以下事项。

  • 必须关联配置策略才能生效 — 创建配置策略后,可以将其与一个或多个账户、组织单位(OU)或根相关联。配置策略可以通过直接应用或通过从父 OU 继承来与账户或 OU 关联。

  • 一个账户或 OU 只能与一个配置策略相关联 — 为防止设置冲突,一个账户或 OU 在任何给定时间只能与一个配置策略相关联。或者,也可以对账户或 OU 进行自行管理。

  • 配置策略已完成 — 配置策略提供了完整的设置规范。例如,子账户不能接受一个策略中的某些控件的设置和另一个策略中其他控件的设置。当您将策略与子账户关联时,请确保该策略指定了您希望该子账户使用的所有设置。

  • 配置策略无法恢复 — 在将配置策略与账户或 OU 关联后,无法选择恢复该策略。例如,如果您将禁用 CloudWatch 控件的配置策略与特定账户关联,然后取消该策略的关联,则该账户中的 CloudWatch 控件将继续处于禁用状态。要再次启用 CloudWatch 控件,您可以将该账户与启用控件的新策略相关联。或者,您可以将帐户更改为自我管理并启用帐户中的每个 CloudWatch 控件。

  • 配置策略在您的主区域和所有关联区域生效 — 配置策略会影响主区域中的所有关联账户以及所有关联区域。您无法创建仅在其中某些区域生效而不在其他区域生效的配置策略。唯一的例外是涉及全球资源的控制

    Amazon 在 2019 年 3 月 20 日当日或之后推出的区域称为选择加入区域。必须先为账户启用这样的区域,然后配置策略才会在该区域生效。组织管理账户可以为成员账户启用选择加入区域。有关启用选择加入区域的说明,请参阅《Amazon 账户管理参考指南》中的指定您的账户可以使用哪个 Amazon Web Services 区域

    如果您的策略配置的控件在主区域或一个或多个关联区域中不可用,Security Hub 则会跳过不可用区域中的控制配置,但会在有该控件可用的区域中应用该配置。

  • 配置策略即资源 — 作为资源,配置策略有 Amazon 资源名称(ARN)和通用唯一标识符(UUID)。ARN 使用以下格式:arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID。自行管理的配置没有 ARN。自行管理的配置的 UUID 是SELF_MANAGED_SECURITY_HUB

配置策略的类型

每个配置策略指定以下设置:

  • 启用或禁用 Security Hub。

  • 启用一项或多项安全标准

  • 指明在已启用的标准中启用了哪些安全控件。为此,您可以提供应启用的特定控件列表,并且 Security Hub 会禁用所有其他控件,包括在新控件发布时直接禁用。此外,您可以提供应禁用的特定控件列表,并且 Security Hub 会启用所有其他控件,包括在新控件发布时直接启用。

  • (可选)在已启用的标准中为选定的已启用控件自定义参数

中心配置策略不包括 Amazon Config 记录器设置。您必须分别启用 Amazon Config 和开启对所需资源的记录,Security Hub 才能生成控件调查发现。有关更多信息,请参阅 正在配置 Amazon Config

如果您使用中央配置,Security Hub 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。其他控件在所有可用区域均已启用。要将这些控件的调查发现限制在一个区域内,您可以更新 Amazon Config 记录器设置并关闭除主区域之外的所有区域的全局资源记录。有关涉及全局资源的控件列表,请参阅处理全局资源的控件

首次在 Security Hub 控制台中创建配置策略时,您可以选择 Security Hub 推荐的策略。

推荐的策略启用 Security Hub、Amazon 基础安全最佳实践(FSBP)标准以及所有现有和新的 FSBP 控件。接受参数的控件使用默认值。推荐的策略适用于根(所有账户和 OU,包括新账户和现有账户)。为您的组织创建推荐的策略后,您可以通过委托管理员账户对其进行修改。例如,您可以启用其他标准或控件或禁用特定的 FSBP 控件。有关修改配置策略的说明,请参阅更新 Security Hub 配置策略

自定义配置策略

委托管理员最多可以创建 20 个自定义配置策略,而不是推荐的策略。您可以将单个自定义策略与整个组织相关联,也可以将不同的自定义策略与不同的账户和 OU 关联。对于自定义配置策略,您可以指定所需的设置。例如,您可以创建自定义策略,启用 FSBP、 Center for Internet Security(CIS)Amazon 基金会基准 v1.4.0 以及这些标准中除了 Amazon Redshift 控件之外的所有控件。您在自定义配置策略中使用的粒度级别取决于整个组织的预期安全覆盖范围。

注意

您无法将禁用 Security Hub 的配置策略与委托管理员账户相关联。这样的策略可以与其他账户关联,但会跳过与委托管理员的关联。委托管理员账户保留其当前配置。

创建自定义配置策略后,您可以更新配置策略,切换到推荐的配置策略,从而反映推荐的配置。但是,在创建第一个策略后,您无法在 Security Hub 控制台中看到创建推荐配置策略的选项。

通过应用和继承进行策略关联

当你第一次选择使用中心配置时,你的组织没有任何关联关系,其行为方式与选择加入之前相同。然后,授权的管理员可以在配置策略或自我管理行为与账户、OU 或根之间建立关联。可以通过应用继承来建立关联。

通过委托管理员账户,您可以直接将配置策略应用于账户、OU 或根。或者,授权管理员可以直接将自我管理的指定应用于账户、OU 或根。

在没有直接应用程序的情况下,账户或 OU 会继承具有配置策略或自我管理行为的最近的家长的设置。如果最近的父级与配置策略相关联,则子级将继承该策略,并且只能由来自主区域的委托管理员进行配置。如果最近的父级是自行管理的,则子级继承自行管理的行为,并且能够在每个 Amazon Web Services 区域中指定自己的设置。

应用程序优先于继承。换句话说,继承不会覆盖委派管理员直接应用于账户或 OU 的配置策略或自我管理指定。

如果您直接将配置策略应用于自我管理的账户,则该策略将覆盖自我管理的指定。该账户将进行集中管理,并采用配置策略中反映的设置。

我们建议直接将配置策略应用于根目录。如果您对根应用策略,则加入组织的新账户将自动继承根策略,除非您将这些账户与其他策略关联或将其指定为自行管理。

在给定时间,只能通过应用或继承将配置策略与账户或 OU 关联。这旨在防止设置冲突。

下图说明了策略应用和继承在中心配置中的工作原理。


                    应用和继承 Security Hub 配置策略

在此示例中,以绿色突出显示的节点具有已应用于该节点的配置策略。以蓝色突出显示的节点不具有已应用于该节点的配置策略。以黄色突出显示的节点已被指定为自行管理。每个账户和 OU 都使用以下配置:

  • OU:Root(绿色)— 此 OU 使用已应用于它的配置策略。

  • OU:Prod(蓝色)— 此 OU 继承了 OU:Root 的配置策略。

  • OU:Applications(绿色)— 此 OU 使用已应用于它的配置策略。

  • 账户 1(绿色)— 此账户使用已应用于它的配置策略。

  • 账户 2(蓝色)-此账户继承了 OU:Applications 的配置策略。

  • OU:Dev(黄色)— 此 OU 是自行管理的。

  • 账户 3(绿色)— 此账户使用已应用于它的配置策略。

  • 账户 4(蓝色)— 此账户继承了 OU:Dev 的自行管理行为。

  • OU:Test(蓝色)— 此 OU 继承了 OU:Root 的配置策略。

  • 账户 5(蓝色)— 此账户继承了 OU:Root 的配置策略,因为其直系父级 OU:Test 未与配置策略关联。

测试配置策略

要测试配置策略的效果,您可以将其与单个账户或 OU 关联,然后再将其在更大范围的整个组织内关联。

要测试配置策略
  1. 创建自定义配置策略,但不要将其应用到任何账户。验证 Security Hub 的启用状况、标准和控件的指定设置是否正确。

  2. 将配置策略应用于没有任何子账户或 OU 的测试帐号或 OU。

  3. 验证测试账户或 OU 在您的主区域和所有关联区域中是否按预期方式使用配置策略。您还可以验证组织中的所有其他账户和 OU 是否仍是自行管理的,并且可以在每个区域中变更其自身设置。

在单个账户或 OU 中测试配置策略后,您可以将其与其他账户和 OU 关联。有关策略创建和关联的说明,请参阅创建和关联 Security Hub 配置策略。应用账户的子账户将继承该策略,除非这些子账户是自行管理的,或者应用了其他配置策略。您还可以根据需要编辑配置策略并创建其他配置策略。