本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控件类别
中的每个控件Amazon Security Hub都被分配了一个类别。控件的类别反映了它应用于的安全功能。
类别值包含类别、类别中的子类别以及子类别中的分类器(可选)。例如:
-
检测 > 检测服务 > 应用程序监控
-
识别 > 清单
-
保护 > 数据保护 > 加密传输中的数据
以下是适用于当前可用的 Security Hub 控件的类别、子类别和分类器的描述。
Detect
制定并实施适当的活动,以识别网络安全事件的发生。
- 检测服务
-
是否有正确的检测服务,覆盖范围适中?
Amazon检测服务的示例包括亚马逊 CloudWatch 警报、亚马逊Detective、亚马逊 GuardDuty、Amazon InspectorAmazon IoT Device DefenderAmazon Security Hub、、和Amazon Trusted Advisor。
-
应用程序监控-是否监控应用程序运行状况以保持可用性?
-
识别
了解组织情况以管理系统、资产、数据和功能面临的网络安全风险。
- 清单
-
正在使用哪些资源,它们是否已批准用于此项服务的资源?
标记-是否为服务(包括资源所有者)实施了正确的资源标记策略?
- 日志记录
-
您是否已安全启用该服务的所有相关日志记录? 日志文件示例包括:
-
Amaon VPC 流日志
-
Elastic Load Balancing 访问日志
-
亚马逊 CloudFront 日志
-
亚马逊 CloudWatch 日志
-
Amazon Relational Database Service al D
-
亚马逊 OpenSearch 服务慢速索引日志
-
X-Ray 跟踪
-
Amazon Directory Service 日志
-
Amazon Config物品
-
- 资源配置
-
您是否了解如何配置资源以减少攻击面?
- 漏洞、补丁和版本管理
-
您是否有需要修补的资源或存在不可接受漏洞的资源? 您是否在使用最新版本的软件?
保护
制定并实施适当的保护措施,以确保提供关键基础设施服务和安全编码实践。
- 安全访问管理
-
该服务是否有严格的身份验证和授权策略?
访问控制 — 该服务的 IAM 或资源策略是否符合最低权限实践?
无密码身份验证 — 是否使用联合身份或 SSO 来对用户进行身份验证,而不是 ID、密码和访问密钥? Kerberos 是否用于消除通过网络传输密码的需要?
root 用户访问限制 — 是否避免使用 root 用户?
敏感 API 操作受限-服务的敏感 API 操作是否受到适当限制,尤其是那些导致权限升级或资源共享的操作? 这可能适用于 IAM 或基于资源的策略。
- 安全网络配置
-
该服务是否避免了公共和不安全的远程网络访问?
API 私有访问-是否已启用 VPC 终端节点以私有访问Amazon API?
资源不可公开访问-资源是否已正确分段和隔离?
VPC 中的资源 — 是否可以正确使用 VPC,例如要求在 VPC 中运行作业?
安全组配置-安全组配置是否安全?
- 数据保护
-
您是否有机制来保护您的服务消费、发送或存储的数据?
静态@@ 数据加密-该服务是否对静态数据进行加密?
加密传输中的数据-该服务是否对传输中的数据进行加密?
数据完整性-该服务是否验证数据的完整性?
-
数据删除保护-该服务是否保护数据免遭意外删除?
- API 保护
-
该服务是否Amazon PrivateLink用于保护服务 API 操作?
- 保护性服务
-
是否有适当的保护性服务? 它们是否提供了正确的覆盖范围?
保护性服务可帮助您转移针对该服务的攻击和破坏。中的保护服务示例Amazon包括Amazon Control Tower、、、、Amazon WAFAmazon Shield AdvancedAmazon Network FirewallAmazon Secrets Manager、AAmazon Identity and Access Management ccess Analyzer 和Amazon Resource Access Manager。
- 安全开发
-
您是否使用了安全编码实践?
-
凭证不是硬编码的-你的代码中是否有硬编码的证书?
-
恢复
制定并实施适当的活动,以维护恢复能力计划,恢复因网络安全事件而受损的任何能力或服务。
- 故障恢复能力
-
您的工作负载能否从安全事件中快速恢复?
启用备份 — 您是否建立并测试了备份?
高可用性-服务的配置是否允许流畅的故障转移、弹性扩展和高可用性?