本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Security Hub?
Amazon Security Hub 为您提供了 Amazon 中安全状态的全面视图,可帮助您评测您的 Amazon 环境是否符合安全行业标准和最佳实践。
Security Hub 可跨 Amazon Web Services 账户、Amazon Web Services、和受支持的第三方产品收集安全数据,并可帮助您分析安全趋势,以及确定最高优先级的安全问题。
为了帮助您管理组织的安全状态,Security Hub 支持多种安全标准。其中包括由 Amazon 制定的 Amazon 基础安全最佳实践 (FSBP) 和外部合规性框架,如 Center for Internet Security (CIS)、支付卡行业数据安全标准 (PCI DSS) 和美国国家标准与技术研究所 (NIST)。每个标准都包含多个安全控件,每种控件都代表一种安全最佳实践。Security Hub 对安全控件进行检查并生成控件调查发现,以帮助您评测您是否符合安全最佳实践。
除了生成控制结果外,Security Hub 还会接收来自其他产品Amazon Web Services(例如亚马逊 GuardDuty、Amazon Inspector 和 Amazon Macie)和支持的第三方产品的调查结果。这使您可以通过单一窗格来解决各种与安全相关的问题。您还可以将 Security Hub 的调查发现发送到其他 Amazon Web Services 和受支持的第三方产品。
Security Hub 提供自动化功能,可帮助您对安全问题进行分类和修复。例如,当安全检查失败时,您可以使用自动化规则自动更新关键调查发现。您还可以利用与 Amazon 的集成 EventBridge 来触发对特定发现的自动响应。
Security Hub 的优点
以下是 Security Hub 帮助您监控整个 Amazon 环境中的合规性和安全状况的一些主要方法。
- 减少了收集结果并确定其优先次序的工作
Security Hub 减少了跨账户从集成的 Amazon Web Services 和 Amazon 合作伙伴产品中收集安全调查发现并确定其优先次序的工作。Security Hub 使用标准的调查发现格式 Amazon 安全调查发现格式 (ASFF) 来处理调查发现数据。这样就无需管理来自多种来源的多种格式的调查发现。Security Hub 还将各提供商的调查发现相关联,以帮助您确定其中最重要的几项的优先级。
- 根据最佳实践和标准进行自动安全检查
根据 Amazon 最佳实践和行业标准,Security Hub 自动运行连续的账户级配置和安全检查。Security Hub 使用这些检查的结果来计算安全分数,并识别需要关注的特定账户和资源。
- 跨账户和提供商的结果的综合视图
Security Hub 将合并账户和提供商产品的安全调查发现,然后在 Security Hub 控制台上显示结果。您也可以通过 Security Hub API、Amazon CLI 或软件开发工具包检索调查发现。通过全面了解您当前的安全性状态,您可以发现趋势、识别潜在问题并采取必要的补救措施。
- 自动调查发现更新和修复的能力
您可以创建自动化规则,根据您定义的标准修改或隐藏调查发现。Security Hub 还支持与亚马逊的集成 EventBridge。要自动修复特定调查发现,您可以定义在生成调查发现时要执行的自定义操作。例如,您可以配置自定义操作,将结果发送到票证系统或自动修复系统。
访问 Security Hub
Security Hub 在大多数 Amazon Web Services 区域 中都可用。有关当前已推出 Security Hub 的所有区域的列表,请参阅 Amazon Web Services 一般参考 中的 AmazonSecurity Hub 端点和配额。有关管理您 Amazon Web Services 账户 的 Amazon Web Services 区域 的信息,请参阅《Amazon Account Management 参考指南》中的指定您的账户可以使用的 Amazon Web Services 区域。
在每个区域,您可以通过以下任一方式访问和使用 Security Hub:
- Security Hub 控制台
Amazon Web Services Management Console 是一个基于浏览器的界面,可用于创建和管理 Amazon 资源。作为该控制台的一部分,Security Hub 控制台提供对您的 Security Hub 账户、数据和资源的访问权限。您可以使用 Security Hub 控制台执行 Security Hub 任务,包括查看调查发现、创建自动化规则、创建聚合区域等。
- Security Hub API
-
Security Hub API 允许您以编程方式访问您的 Security Hub 账户、数据和资源。使用该 API,您可以直接向 Security Hub 发送 HTTPS 请求。有关使用 API 的信息,请参阅 Amazon Security Hub API 参考。
- Amazon CLI
-
可以使用Amazon CLI,在系统的命令行中运行命令来执行 Security Hub 任务。与使用控制台相比,在某些情况下使用命令行更快、更方便。如果要构建执行任务的脚本,命令行也会十分有用。有关安装和使用 Amazon CLI 的更多信息,请参阅 Amazon Command Line Interface 用户指南。
- Amazon SDK
-
Amazon 提供由各种编程语言和平台(例如 Java、Go、Python、C++ 和 .NET)的库和示例代码组成的 SDK。这些软件开发工具包以您的首选语言提供对 Security Hub 和其他 Amazon Web Services 的便捷编程访问。它们还处理多个任务,例如以加密方式对请求进行签名、管理错误以及自动重试请求。有关安装和使用 Amazon SDK 的信息,请参阅在 Amazon 上构建的工具
。
重要
Security Hub 仅检测和整合启用 Security Hub 后生成的调查发现。它不会以追溯方式检测和合并在启用 Security Hub 前生成的安全调查发现。
Security Hub 仅接收和处理您在账户中启用 Security Hub 的区域中的那些结果。
要完全符合 CIS Amazon 基金会基准安全检查,您必须在所有受支持的 Amazon 区域中启用 Security Hub。
相关服务
为了进一步保护您的 Amazon 环境,可以考虑将其他 Amazon Web Services 与 Security Hub 结合使用。
有关发送或接收 Security Hub 调查发现的其他 Amazon Web Services 的列表,请参阅 集成 Amazon Web Service 与 Amazon Security Hub。
Security Hub 使用 Amazon Config 中与服务相关的规则对大多数控件执行安全检查。您必须启用 Amazon Config 和记录 Amazon Config 中的资源,Security Hub 才能生成大部分控件调查发现。有关更多信息,请参阅正在配置 Amazon Config。
Security Hub 免费试用和定价
当您首次在 Amazon Web Services 账户 中启用 Security Hub 时,这一账户会自动注册 30 天的 Security Hub 免费试用。
在免费试用期内使用 Security Hub 时,您需要为使用与 Security Hub 交互的其他服务(例如 Amazon Config 项目)付费。对于仅通过 Security Hub 安全标准激活的 Amazon Config 规则,您无需支付任何费用。
在免费试用期结束之前,您不必为使用 Security Hub 付费。
注意
中国(北京)区域不支持免费试用 Security Hub。
查看使用详细信息和预计成本
Security Hub 提供使用信息,包括预计 30 天的 Security Hub 使用费用。使用详细信息包括免费试用的剩余时间。使用信息可以帮助您了解免费试用结束后 Security Hub 的费用可能是多少。免费试用结束后,还会提供使用信息。免费试用结束后,还可以查看使用信息。
显示使用信息(控制台)
打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中的设置下,选择使用情况。
预计月度成本是将账户的 Security Hub 对于结果和安全检查的使用情况投射到 30 天的时段估算出来的。
使用信息和预估费用仅适用于当前账户和当前区域。在聚合区域中,使用信息和预估费用不包括关联区域。有关关联区域的更多信息,请参阅 如何执行跨区域聚合工作。
定价详细信息
有关 Security Hub 如何对提取结果和安全检查收费的更多信息,请参阅 Security Hub 定价