了解 Security Hub CSPM 中的安全控制 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Security Hub CSPM 中的安全控制

在 Sec Amazon urity Hub 云安全态势管理 (CSPM) 中,安全控制(也称为控件)是安全标准中的一种保护措施,可帮助组织保护其信息的机密性、完整性和可用性。在 Security Hub CSPM 中,控件与特定 Amazon 资源相关。

当你在一个或多个标准中启用控件时,Security Hub CSPM 会开始对其进行安全检查。安全检查会导致 Security Hub CSPM 的调查结果。禁用控件后,Security Hub CSPM 会停止对其运行安全检查,并且不会再生成发现结果。

您可以为单个帐户单独启用或禁用控件,以及 Amazon Web Services 区域. 为了节省时间并减少多账户环境中的配置偏差,我们建议使用中心配置启用或禁用控件。通过集中配置,委派的 Security Hub CSPM 管理员可以创建策略,指定如何跨多个账户和区域配置控件。有关启用和禁用控件的更多信息,请参阅在 Security Hub CSPM 中启用控件

整合控件视图

S ec urity Hub CSPM 控制台的 “控件” 页面显示当前版本中所有可用的控件 Amazon Web Services 区域 (您可以通过访问 “安全标准” 页面并选择启用的标准来查看标准环境中的控件)。Security Hub CSPM 为控件分配了跨标准一致的安全控制 ID、标题和描述。控件 IDs 包括相关的 Amazon Web Services 服务 和唯一的数字(例如, CodeBuild.3)。

Sec urity Hub CSPM 控制台的 “控制” 页面上提供了以下信息:

  • 总体安全评分基于已通过的控件占已启用控件总数与包含数据的控件总数的比例

  • 所有支持的 Security Hub CSPM 控件的控制状态分解

  • 通过和未通过的安全检查总数。

  • 针对不同严重程度的控件未通过的安全检查次数,以及查看有关这些未通过检查的更多详细信息的链接。

  • Security Hub CSPM 控件列表,其中包含用于查看特定控件子集的筛选器。

控件页面中,您可以选择一个控件来查看其详细信息并对该控件生成的调查发现采取行动。在此页面上,您还可以在当前 Amazon Web Services 账户 和中启用或禁用安全控件 Amazon Web Services 区域。控件页面中的启用和禁用操作适用于所有标准。有关更多信息,请参阅 在 Security Hub CSPM 中启用控件

对于管理员账户,控件页面反映了成员账户中的控件状态。如果至少一个成员账户中的控件检查失败,则控件状态为失败。如果您设置了聚合区域,则控件页面将反映所有关联区域中控件的状态。如果至少一个关联区域中的控件检查失败,则控件状态为失败

合并控件视图会导致对 Amazon 安全调查结果格式 (ASFF) 中的控制查找字段进行更改,这可能会影响工作流程。有关更多信息,请参阅 整合的控件视图——ASFF 变更

控件的总体安全评分

控件页面显示的总体安全评分介于 0-100% 之间。总体安全评分是根据通过的控件与启用的控件(包含各标准的数据)总数的比例来计算的。

注意

要查看控件的总体安全评分,您必须添加调用用于访问 Secur BatchGetControlEvaluationsity Hub CSPM 的 IAM 角色的权限。查看特定标准的安全评分不需要此权限。

启用 Security Hub CSPM 后,Security Hub CSPM 将在您首次访问 Security Hub CSPM 控制台上的 “摘要” 页面或安全标准页面后 30 分钟内计算出初始安全分数。在中国地区和 Amazon GovCloud (US) Regions生成首次获得安全评分最多需要 24 小时。

除了总体安全分数外,Security Hub CSPM 还会在您首次访问 “摘要” 页面或安全标准页面后 30 分钟内计算每个启用的标准的标准安全分数。要查看当前启用的标准列表,请使用 GetEnabledStandards API 操作。

Amazon Config 必须启用资源记录功能才能显示分数。有关 Security Hub CSPM 如何计算安全分数的信息,请参阅。计算安全分数

首次生成分数后,Security Hub CSPM 每 24 小时更新一次安全分数。Security Hub CSPM 会显示一个时间戳,以指示上次更新安全分数的时间。

如果您设置了聚合区域,则总体安全分数将反映关联区域的控件调查发现。