什么是 S Amazon ecurity Hub CSPM? - Amazon Security Hub
Security Hub CSPM 的好处访问 Security Hub CSPM相关服务Security Hub CSPM 免费试用、使用和定价
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 S Amazon ecurity Hub CSPM?

Amazon Security Hub 云安全态势管理 (CSPM) 为您提供安全状态的全面视图, Amazon 并帮助您根据安全行业标准和最佳实践评估您的 Amazon 环境。

Security Hub CSPM 收集跨 Amazon Web Services 账户第三方产品和支持的第三方产品的安全数据,帮助您分析安全趋势并确定优先级最高的安全问题。 Amazon Web Services 服务

为了帮助您管理组织的安全状态,Security Hub CSPM 支持多种安全标准。其中包括由互联网安全中心 (CIS) Amazon、支付卡行业数据安全标准 (PCI DSS) 和美国国家标准与技术研究所 (NIST) 制定的 Amazon 基础安全最佳实践 (FSBP) 标准和外部合规框架。每个标准都包含多个安全控件,每种控件都代表一种安全最佳实践。Security Hub CSPM 对安全控制进行检查并生成控制结果,以帮助您评估是否符合安全最佳实践。

除了生成控制结果外,Security Hub CSPM还会收到来自其他产品 Amazon Web Services 服务(例如亚马逊、Amazon Insp GuardDuty ector和Amazon Macie)和支持的第三方产品的调查结果。这使您可以通过单一窗格来解决各种与安全相关的问题。您还可以将 Security Hub CSPM 调查结果发送给其他 Amazon Web Services 服务 支持的第三方产品。

Security Hub CSPM 提供自动化功能,可帮助您对安全问题进行分类和修复。例如,当安全检查失败时,您可以使用自动化规则自动更新关键调查发现。您还可以利用与 Amazon 的集成 EventBridge 来触发对特定发现的自动响应。

Security Hub CSPM 的好处

以下是 Security Hub CSPM 帮助您监控整个环境中的合规性和安全状况的一些主要方法。 Amazon

减少了收集结果并确定其优先次序的工作

Security Hub CSPM 减少了收集来自集成产品和 Amazon 合作伙伴产品的各个账户的安全发现 Amazon Web Services 服务 并确定其优先顺序的工作量。Security Hub CSPM 使用 Amazon 安全查找格式 (ASFF)(一种标准查找格式)处理查找数据。这样就无需管理来自多种来源的多种格式的调查发现。Security Hub CSPM 还会关联各提供商的调查结果,以帮助您确定最重要的发现的优先级。

根据最佳实践和标准进行自动安全检查

Security Hub CSPM 根据 Amazon 最佳实践和行业标准自动运行持续的账户级配置和安全检查。Security Hub CSPM 使用这些检查的结果来计算安全分数,并识别需要关注的特定账户和资源。

跨账户和提供商的结果的综合视图

Security Hub CSPM 整合您在账户和提供商产品中的安全发现,并将结果显示在 Security Hub CSPM 控制台上。您也可以通过 Security Hub CSPM API 检索搜索结果 Amazon CLI,或者。 SDKs通过全面了解您当前的安全性状态,您可以发现趋势、识别潜在问题并采取必要的补救措施。

自动调查发现更新和修复的能力

您可以创建自动化规则,根据您定义的标准修改或隐藏调查发现。Security Hub CSPM 还支持与亚马逊的集成。 EventBridge要自动修复特定调查发现,您可以定义在生成调查发现时要执行的自定义操作。例如,您可以配置自定义操作,将结果发送到票证系统或自动修复系统。

访问 Security Hub CSPM

Security Hub CSPM 在大多数版本中都可用。 Amazon Web Services 区域有关当前可用 Security Hub CSPM 的区域列表,请参阅中的 Sec Amazon urity Hub 云安全态势管理 (CSPM) 端点和配额。Amazon Web Services 一般参考有关管理 Amazon Web Services 区域 您的账户的信息 Amazon Web Services 账户,请参阅《Amazon 账户管理 参考指南》中的指定 Amazon Web Services 区域 您的账户可以使用

在每个区域,您可以通过以下任一方式访问和使用 Security Hub CSPM:

Security Hub CSPM 控制台

Amazon Web Services Management Console 是一个基于浏览器的界面,可用于创建和管理 Amazon 资源。作为该控制台的一部分,Security Hub CSPM 控制台提供对您的 Security Hub CSPM 账户、数据和资源的访问权限。您可以使用 Security Hub CSPM 控制台执行 Security Hub CSPM 任务,包括查看调查结果、创建自动化规则、创建聚合区域等。

Security Hub CSPM API

Security Hub CSPM API 允许你以编程方式访问你的 Security Hub CSPM 账户、数据和资源。使用该 API,你可以直接向 Security Hub CSPM 发送 HTTPS 请求。有关 API 的信息,请参阅 Sec Amazon urity Hub 云安全状态管理 (CSPM) API 参考。

Amazon CLI

借助 Amazon CLI,您可以在系统的命令行上运行命令来执行 Security Hub CSPM 任务。与使用控制台相比,在某些情况下使用命令行更快、更方便。如果要构建执行任务的脚本,命令行也会十分有用。有关安装和使用的信息 Amazon CLI,请参阅《Amazon Command Line Interface 用户指南》

Amazon SDKs

Amazon 由各种编程语言和平台(例如 Java、Go、Python、C++ 和.NET)的库和示例代码组成。 SDKs 它们以您的首选语言 SDKs 提供对 Security Hub CSPM 和其他语言 Amazon Web Services 服务 的便捷编程访问。它们可以执行多种任务,例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用的信息 Amazon SDKs,请参阅构建工具 Amazon

重要

Security Hub CSPM 仅检测和整合在启用 Security Hub CSPM 后生成的调查结果。它不会追溯性地检测和整合在您启用 Security Hub CSPM 之前生成的安全发现。

Security Hub CSPM 仅在账户中启用了 Security Hub CSPM 的区域接收和处理调查结果。

要完全符合 CIS Amazon 基金会基准安全检查,您必须在所有支持的 Amazon 区域启用 Security Hub CSPM。

为了进一步保护您的 Amazon 环境,可以考虑将其他与 Secur Amazon Web Services 服务 ity Hub CSPM 结合使用。有些人 Amazon Web Services 服务 将调查结果发送给 Security Hub CSPM,而 Security Hub CSPM 则将调查结果标准化为标准格式。有些人 Amazon Web Services 服务 还可以从 Security Hub CSPM 那里收到调查结果。

有关发送或接收 Secur Amazon Web Services 服务 ity Hub CSPM 发现结果的其他人的列表,请参阅。Amazon Web Services 服务 与 Security Hub CSPM 集成

Security Hub CSPM 使用中的服务相关规则 Amazon Config 对大多数控件进行安全检查。控件是指特定 Amazon Web Services 服务 和 Amazon 资源。有关 Security Hub CSPM 控件的列表,请参阅。Security Hub CSPM 的控制参考您必须启用 Amazon Config 并记录资源, Amazon Config 以便 Security Hub CSPM 生成大部分控制结果。有关更多信息,请参阅 启用和配置前的注意事项 Amazon Config

Security Hub CSPM 免费试用和定价

当你首次在中启用 Security Hub CSPM 时,该账户将自动注册 Amazon Web Services 账户 为期 30 天的 Security Hub CSPM 免费试用。

在免费试用期间使用 Security Hub CSPM 时,您需要为使用 Security Hub CSPM 与之交互的其他服务(例如项目)付费。 Amazon Config 对于仅通过 Security Hub CSPM 安全标准激活的 Amazon Config 规则,您无需支付任何费用。

在免费试用期结束之前,您无需支付使用 Security Hub CSPM 的费用。

查看使用详细信息和预计成本

Security Hub CSPM 提供使用信息,包括使用 Security Hub CSPM 的估计 30 天费用。使用详细信息包括免费试用的剩余时间。使用信息可以帮助您了解免费试用期结束后 Security Hub CSPM 的费用可能是多少。免费试用结束后,还会提供使用信息。免费试用结束后,还可以查看使用信息。

显示使用信息(控制台)

  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中的设置下,选择使用情况

估计的每月费用基于您的账户的 Security Hub CSPM 使用量,预计在 30 天内进行调查结果和安全检查。

使用信息和预估成本仅适用于当前账户和当前区域。在聚合区域中,使用信息和预估费用不包括关联区域。有关关联区域的更多信息,请参阅 聚合的数据类型

定价详细信息

有关 Security Hub CSPM 如何对摄取的发现和安全检查收取费用的更多信息,请参阅 Security Hub CSPM 定