控件类别 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控件类别

每个控件都被分配了一个类别。控件的类别反映了它应用于的安全功能。

类别值包含类别、类别内的子类别以及可选的子类别内的分类器。例如:

  • 识别 > 清单

  • 保护 > 数据保护 > 传输中数据加密

以下是对可用类别、子类别和分类器的描述。

识别

了解组织情况以管理系统、资产、数据和功能面临的网络安全风险。

清单

该服务是否实施了正确的资源标记策略? 标记策略是否包含资源拥有者?

该服务使用哪些资源? 该服务是否有权使用这些资源?

您是否知道批准的库存? 例如,您是否使用诸如 Amazon EC2 Systems Manager 和 Service Catalog 之类的服务?

日志记录

您是否已安全启用该服务的所有相关日志记录? 日志文件的示例包括以下内容:

  • Amazon VPC 流日志

  • Elastic Load Balancing 访问日志

  • 亚马逊 CloudFront 日志

  • 亚马逊 CloudWatch 日志

  • Amazon Relational Database Service 日志

  • 亚马逊 OpenSearch 服务慢速索引日志

  • X-Ray 跟踪

  • Amazon Directory Service 日志

  • Amazon Config 物品

  • 快照

保护

制定并实施适当的保护措施,以确保提供关键基础设施服务和安全编码实践。

安全访问管理

该服务是否在其 IAM 或资源策略中使用最低权限实践?

密码和密钥是否足够复杂? 它们是否已适当轮换?

该服务是否使用 Multi-Factor Authentication (MFA)?

该服务是否避开根用户?

基于资源的策略是否允许公有访问?

安全网络配置

该服务是否避免公有和不安全的远程网络访问?

该服务是否正确使用了 VPC? 例如,是否要求在 VPC 中运行作业?

该服务是否已正确分割和隔离敏感资源?

数据保护

静态数据加密——该服务是否加密静态数据?

加密传输中数据——该服务是否对数据进行传输中加密?

数据完整性——该服务是否验证数据的完整性?

数据删除保护——该服务是否保护数据免遭意外删除?

数据管理/使用——您是否使用 Amazon Macie 等服务来跟踪敏感数据的位置?

API 保护

该服务是否 Amazon PrivateLink 用于保护服务 API 操作?

保护性服务

是否有适当的保护性服务? 它们是否提供了正确的覆盖范围?

保护性服务可帮助您转移针对该服务的攻击和破坏。中的保护服务示例 Amazon 包括 Amazon Control Tower、、、Vanta Amazon WAF Amazon Shield Advanced、Secrets Manager、IAM Access Analyzer 和 Amazon Resource Access Manager。

安全开发

您是否使用了安全编码实践?

您是否避免了诸如开放 Web 应用程序安全项目 (OWASP) 十大漏洞之类的漏洞?

Detect

制定并实施适当的活动,以识别网络安全事件的发生。

检测服务

是否有适当的检测服务?

它们是否提供了正确的覆盖范围?

Amazon 检测服务的示例包括亚马逊 GuardDuty、Amazon Inspector Amazon Security Hub、Amazon Detective、A CloudWatch mazon Al Amazon IoT Device Defender arms 和 Amazon Trusted Advisor。

响应

制定并实施适当的活动,以便对检测到的网络安全事件采取措施。

响应措施

您是否能迅速对安全事件做出响应?

您现在是否有任何“严重”或“高”严重性的结果?

取证

您是否能够安全地获取服务的取证数据? 例如,您是否获取与实际正面调查发现相关的 Amazon EBS 快照?

您是否设立了取证账户?

恢复

制定并实施适当的活动,以维护恢复能力计划,恢复因网络安全事件而受损的任何能力或服务。

弹性

服务配置是否支持正常故障转移、弹性扩展和高可用性?

您是否已创建备份?