启用安全标准 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用安全标准

当你在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中启用安全标准时,Security Hub CSPM 会自动创建并启用适用于该标准的所有控件。Security Hub CSPM 还开始运行安全检查并生成控件的调查结果。

要优化覆盖范围和结果的准确性,请在启用标准 Amazon Config 之前在中启用和配置资源记录。配置资源记录时,还要确保为所有类型的资源启用该功能,这些资源由适用于标准的控件进行检查。否则,Security Hub CSPM 可能无法评估适当的资源,也无法为适用于该标准的控制措施生成准确的结果。有关更多信息,请参阅 为 Security Hub CSPM 启用和配置 Amazon Config

启用标准后,您可以禁用或稍后重新启用适用于该标准的各个控件。如果您禁用标准的控件,Security Hub CSPM 将停止为该控件生成查找结果。此外,Security Hub CSPM 在计算标准的安全分数时会忽略该控件。安全分数是通过评估的控件占适用于该标准、已启用并具有评估数据的控件总数的百分比。

启用标准后,Security Hub CSPM 通常会在您首次访问 Security Hub CSPM 控制台上的 “摘要” 或 “安全标准” 页面后的 30 分钟内生成该标准的初步安全评分。只有当您在控制台上访问这些页面时启用的标准才会生成安全分数。此外,必须在中 Amazon Config 配置资源记录才能显示分数。在中国地区 Amazon GovCloud (US) Regions和,Security Hub CSPM 最多可能需要 24 小时才能生成标准的初步安全评分。在 Security Hub CSPM 生成初步分数后,它每 24 小时更新一次分数。要确定上次更新安全分数的时间,您可以参考 Security Hub CSPM 为该分数提供的时间戳。有关更多信息,请参阅 计算安全分数

如何启用标准取决于您是否使用中央配置来管理多个账户的 Security Hub CSPM 以及。 Amazon Web Services 区域如果要在多账户、多区域环境中启用标准,我们建议使用中心配置。如果您将 Security Hub CSPM 与集成,则可以使用中央配置。 Amazon Organizations如果您不使用中央配置,则必须在每个账户和每个区域中分别启用每个标准。

在多个账户中启用标准和 Amazon Web Services 区域

要跨多个账户启用和配置安全标准 Amazon Web Services 区域,请使用集中配置。通过集中配置,授权的 Security Hub CSPM 管理员可以创建启用一个或多个标准的 Security Hub CSPM 配置策略。然后,管理员可以将配置策略与个人账户、组织单位 (OUs) 或根账户相关联。配置策略会影响主区域(也称为聚合区域)和所有关联区域。

配置策略提供自定义选项。例如,您可以选择仅为一个 OU 启用 Amazon 基础安全最佳实践 (FSBP) 标准。对于另一个 OU,您可以选择同时启用 FSBP 标准和互联网安全中心 (CIS) Amazon 基金会基准 v1.4.0 标准。有关创建启用您指定的特定标准的配置策略的信息,请参阅创建和关联配置策略

如果您使用集中配置,Security Hub CSPM 不会在新账户或现有账户中自动启用任何标准。相反,Security Hub CSPM 管理员在为组织创建 Security Hub CSPM 配置策略时指定要在不同账户中启用哪些标准。Security Hub CSPM 提供了一种推荐的配置策略,在该策略中,仅启用 FSBP 标准。有关更多信息,请参阅 配置策略的类型

注意

Security Hub CSPM 管理员可以使用配置策略来启用除Amazon Control Tower 服务管理标准之外的任何标准。要启用此标准,管理员必须 Amazon Control Tower 直接使用。他们还必须使用 Amazon Control Tower 此标准为集中管理的账户启用或禁用个人控件。

如果您希望某些账户为自己的账户启用和配置标准,Security Hub CSPM 管理员可以将这些账户指定为自我管理的帐户。自管理账户必须在每个地区分别启用和配置标准。

在单个账户中启用标准版和 Amazon Web Services 区域

如果您不使用中央配置或拥有自我管理的帐户,则无法使用配置策略在多个账户中集中启用安全标准,或者 Amazon Web Services 区域。但是,您可以在单个账户和区域中启用标准。你可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 来做到这一点。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台,在一个账户和区域中启用标准。

要在一个账户和区域中启用标准
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 使用页面右上角的选择 Amazon Web Services 区域 器,选择要启用该标准的区域。

  3. 在导航窗格中,选择安全标准安全标准页面列出了 Security Hub CSPM 当前支持的所有标准。如果您已经启用了标准,则该标准的部分将包括该标准的当前安全评分和其他详细信息。

  4. 在要启用的标准部分中,选择启用标准

要在其他区域启用该标准,请在每个其他区域重复上述步骤。

Security Hub CSPM API

要以编程方式在单个账户和区域中启用标准,请使用BatchEnableStandards操作。或者,如果您使用的是 Amazon Command Line Interface (Amazon CLI),请运行该batch-enable-standards命令。

在您的请求中,使用StandardsArn参数指定要启用的标准的 Amazon 资源名称 (ARN)。还要指定您的请求适用的区域。例如,以下命令启用 Amazon 基础安全最佳实践 (FSBP) 标准:

$ aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \ --region us-east-1

美国东部(弗吉尼亚北部)地区的 FSBP 标准的 ARN 在哪里arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0us-east-1也是启用该标准的区域。

要获取标准的 ARN,请使用DescribeStandards操作,或者,如果您使用的是 Amazon CLI,则运行命令。describe-standards

要首先查看您的账户中当前启用的标准列表,您可以使用该GetEnabledStandards操作。如果您使用的是 Amazon CLI,则可以运行get-enabled-standards命令来检索此列表。

启用标准后,Security Hub CSPM 开始执行任务,以便在账户和指定区域中启用该标准。这包括创建适用于标准的所有控件。要监控这些任务的状态,您可以查看账户和地区的标准状态。

检查标准的状态

当您为账户启用安全标准时,Security Hub CSPM 会开始在账户中创建适用于该标准的所有控件。Security Hub CSPM 还会执行其他任务来为账户启用该标准,例如为该标准生成初步安全评分。当 Security Hub CSPM 执行这些任务时,标准的状态是Pending针对账户的。然后,标准的状态会经过其他状态,您可以监控和检查这些状态。

注意

对标准的各个控件所做的更改不会影响标准的整体状态。例如,如果您启用了以前禁用的控件,则您的更改不会影响标准的状态。同样,如果您更改已启用控件的参数值,则所做的更改不会影响标准的状态。

要使用 Security Hub CSPM 控制台检查标准的状态,请在导航窗格中选择安全标准安全标准页面列出了 Security Hub CSPM 当前支持的所有标准。如果 Security Hub CSPM 当前正在执行启用该标准的任务,则该标准的部分表明 Security Hub CSPM 仍在为该标准生成安全分数。如果启用了标准,则该标准的部分将包括当前分数。选择 “查看结果” 以查看其他详细信息,包括适用于标准的各个控件的状态。有关更多信息,请参阅 有关运行安全检查的计划

要使用 Security Hub CSPM API 以编程方式检查标准的状态,请使用操作。GetEnabledStandards在您的请求中,可以选择使用StandardsSubscriptionArns参数指定要检查其状态的标准的 Amazon 资源名称 (ARN)。如果您使用的是 Amazon Command Line Interface (Amazon CLI),则可以运行get-enabled-standards命令来检查标准的状态。要指定要检查的标准的 ARN,请使用参数。standards-subscription-arns要确定要指定哪个 ARN,您可以使用DescribeStandards操作,或者为 Amazon CLI运行命令。describe-standards

如果您的请求成功,Security Hub CSPM 将使用一组对象进行响应。StandardsSubscription标准订阅是 Security Hub CSPM 在为账户启用标准时在账户中创建的一种 Amazon 资源。每个StandardsSubscription对象都提供有关该账户当前启用、正在启用或禁用的标准的详细信息。在每个对象中,该StandardsStatus字段指定账户标准的当前状态。

标准 (StandardsStatus) 的状态可以是以下之一。

PENDING

Security Hub CSPM 目前正在执行为该账户启用标准的任务。这包括创建适用于该标准的控件,以及生成该标准的初步安全评分。Security Hub CSPM 可能需要几分钟才能完成所有任务。如果标准已经为该账户启用了该标准,并且 Security Hub CSPM 目前正在为该标准添加新的控件,则该标准也可以处于此状态。

如果标准具有此状态,则可能无法检索适用于该标准的各个控件的详细信息。此外,您可能无法为标准配置或禁用单个控件。例如,如果您尝试使用UpdateStandardsControl操作禁用控件,则会发生错误。

要确定是否可以配置或以其他方式管理标准的各个控件,请参阅该StandardsControlsUpdatable字段的值。如果此字段的值为READY_FOR_UPDATES,则可以开始管理标准的各个控件。否则,请等待 Security Hub CSPM 完成其他处理任务以启用该标准。

READY

该标准目前已为该账户启用。Security Hub CSPM 可以运行安全检查,并生成适用于该标准且当前已启用的所有控件的调查结果。Security Hub CSPM 还可以计算该标准的安全分数。

如果标准具有此状态,则可以检索适用于该标准的各个控件的详细信息。此外,您还可以配置、禁用或重新启用控件。您也可以禁用该标准。

INCOMPLETE

Security Hub CSPM 无法为该账户完全启用该标准。Security Hub CSPM 无法运行安全检查并生成适用于该标准且当前已启用的所有控件的调查结果。此外,Security Hub CSPM 无法计算该标准的安全分数。

要确定未完全启用该标准的原因,请参阅StandardsStatusReason阵列中的信息。此数组列出了阻碍 Security Hub CSPM 启用该标准的问题。如果出现内部错误,请尝试再次为该账户启用该标准。对于其他类型的问题,请检查您的 Amazon Config 设置。您也可以禁用不想检查的单个控件,或者完全禁用标准控件。

DELETING

Security Hub CSPM 目前正在处理对该账户禁用该标准的请求。这包括禁用适用于该标准的控件以及删除相关的安全评分。Security Hub CSPM 可能需要几分钟才能完成对请求的处理。

如果标准版处于此状态,则您无法重新启用该标准或尝试再次为该账户禁用该标准。Security Hub CSPM 必须先完成对当前请求的处理。此外,您无法检索适用于标准的各个控件的详细信息,也无法管理这些控件。

FAILED

Security Hub CSPM 无法为该账户禁用该标准。Security Hub CSPM 尝试禁用该标准时出现了一个或多个错误。此外,Security Hub CSPM 无法计算该标准的安全分数。

要确定标准未被完全禁用的原因,请参阅StandardsStatusReason数组中的信息。此数组列出了阻止 Security Hub CSPM 禁用该标准的问题。

如果标准具有此状态,则无法检索适用于该标准的各个控件的详细信息或管理这些控件。但是,您可以为该账户重新启用该标准。如果您解决了阻碍 Security Hub CSPM 禁用该标准的问题,也可以尝试再次禁用该标准。

如果标准的状态为READY,则 Security Hub CSPM 会运行安全检查,并生成适用于该标准且当前已启用的所有控件的调查结果。对于其他状态,Security Hub CSPM 可能会对一些(但不是全部)启用的控件运行检查并生成结果。生成或更新控制结果最多可能需要 24 小时。有关更多信息,请参阅 有关运行安全检查的计划