本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和建议
以下先决条件和建议将帮助您开始使用 Amazon Security Hub。
与集成 Amazon Organizations
Amazon Organizations 是一项全球账户管理服务,使 Amazon 管理员能够整合和集中管理多个 Amazon Web Services 账户 组织单位 (OU)。它提供账户管理和整合账单功能,这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用,并与多个集成 Amazon Web Services,包括Security Hub GuardDuty、Amazon和Amazon Macie。
为了帮助自动化和简化账户管理,我们强烈建议集成 Security Hub 和 Amazon Organizations。如果您有多个组织使用 Security Hub,则可以与 Organi Amazon Web Services 账户 zations 集成。
有关激活集成的说明,请参阅 将 Security Hub 与 Amazon Organizations。
使用中心配置
在集成 Security Hub 和 Organization 时,您可以选择使用一项名为中心配置的功能来为组织设置和管理 Security Hub。我们强烈建议使用中心配置,因为其可让管理员为组织自定义安全范围。在适当情况下,委托管理员可以允许成员账户配置自己的安全范围设置。
中心配置可让委托管理员跨账户、OU 和区域配置 Security Hub。委托管理员通过创建配置策略来配置 Security Hub。在配置策略中,您可以指定以下设置:
启用还是禁用 Security Hub
哪些安全标准已启用和禁用
哪些安全控件已启用和禁用
是否自定义所选控件的参数
作为委托管理员,您可以为整个组织创建单一的配置策略,也可以为不同的账户和 OU 创建不同的配置策略。例如,测试账户和生产账户可以使用不同的配置策略。
使用配置策略的成员账户和 OU 是集中管理的,只能由委托管理员进行配置。委托管理员可以将特定的成员账户和 OU 指定为自行管理,从而使成员能够逐个区域配置自己的设置。
要了解有关中心配置的更多信息,请参阅Security Hub 中的中心配置。
正在配置 Amazon Config
Amazon Security Hub 使用服务相关 Amazon Config 规则对大多数控件执行安全检查。
要支持这些控制, Amazon Config 必须在每个启用 Sec Amazon Web Services 区域 urity Hub 的账户(包括管理员账户和成员账户)上启用这些控制。此外,对于每个启用的标准,都 Amazon Config 必须配置为记录启用控件所需的资源。
我们建议您在启用 Security Hub 标准 Amazon Config 之前开启资源记录功能。如果 Security Hub 在资源记录关闭时尝试运行安全检查,则检查会返回错误。
Security Hub 无法 Amazon Config 为您管理。如果您已经 Amazon Config 启用,则可以通过 Amazon Config 控制台或 API 配置其设置。
如果您启用了标准但尚未启用 Amazon Config,Security Hub 会尝试按照以下计划创建 Amazon Config 规则:
-
在您启用标准的当天
-
在您启用标准的第二天
-
在您启用标准的第三天
-
启用标准后 7 天(之后每隔 7 天持续启用一次)
如果您使用集中配置,则当您重新应用启用一个或多个标准的配置策略时,Security Hub 也会尝试创建 Amazon Config 规则。
启用 Amazon Config
如果您 Amazon Config 尚未启用,则可以通过以下方式之一将其启用:
-
控制台或 Amazon CLI — 您可以使用 Amazon Config 控制台或手动启用 Amazon Config Amazon CLI。请参阅 Amazon Config 开发人员指南中的 Amazon Config入门。
-
Amazon CloudFormation 模板 — 如果要 Amazon Config 在大量账户上启用,则可以使用 “启 Amazon Config 用” CloudFormation 模板启用 Amazon Config。要访问此模板,请参阅《Amazon CloudFormation 用户指南》中的Amazon CloudFormation StackSets 示例模板。
-
Github 脚本 — Security Hub 提供的GitHub 脚本
可以为跨区域的多个账户启用安全中心。如果您尚未与 Organizations 集成,或者您拥有不属于您的组织的账户,则此脚本非常有用。当您使用此脚本启用 Security Hub 时,它还会自动 Amazon Config 为这些账户启用。
有关启用 Amazon Config 以帮助您运行 Security Hub 安全检查的更多信息,请参阅优化 Amazon ConfigAmazon Security Hub 以有效管理您的云安全状况
在中打开资源记录 Amazon Config
当您 Amazon Config 使用默认设置开启资源记录功能时,它会记录 Amazon Web Services 区域 在其中 Amazon Config 发现的所有支持的区域资源类型。您也可以配置 Amazon Config 为记录支持的全局资源类型。您只需要在单个区域中记录全局资源(如果您使用中心配置,我们建议将此区域作为您的主区域)。
如果您使用启用 CloudFormation StackSets Amazon Config,我们建议您运行两个不同的版本 StackSets。运行一个 StackSet 以记录单个区域中的所有资源,包括全球资源。运行一秒钟 StackSet 以记录除其他区域的全球资源之外的所有资源。
您还可以使用快速设置(一项功能)在您的账户和区域 Amazon Config 中快速配置资源记录。 Amazon Systems Manager在快速设置过程中,您可以选择要在哪个区域记录全球资源。有关更多信息,请参阅 Amazon Systems Manager 用户指南中的 Amazon Config 配置记录器。
安全控件 Config.1 会在未记录全球资源的区域生成失败的调查发现。这是预料之中的,您可以使用自动化规则来隐藏这些调查发现。
如果您使用多账户脚本启用 Security Hub,它会自动为所有区域的所有资源(包括全球资源)启用资源记录。然后,您可以更新配置以仅在单个区域中记录全球资源。有关信息,请参阅《Amazon Config 开发者指南》中的选择 Amazon Config 记录哪些资源。
为了让 Security Hub 准确报告依赖于 Amazon Config 规则的控件的调查结果,您必须启用相关资源的记录。有关控件及其相关 Amazon Config 资源的列表,请参阅Amazon Config 生成控制结果所需的资源。Amazon Config 允许您在连续录制和每日记录资源状态变化之间进行选择。如果您选择每日记录,则在资源状态发生变化时, Amazon Config 会在每 24 小时的周期结束时提供资源配置数据。如果没有任何更改,则不会传送任何数据。这可能会将变更触发的控件的 Security Hub 调查结果的生成延迟到 24 小时期限结束时完成。
注意
要在安全检查后生成新的调查发现并避免过时的调查发现,您必须拥有足够的权限让附加到配置记录器的 IAM 角色评估底层资源。
费用注意事项
有关资源记录相关费用的详细信息,请参阅Amazon Security Hub 定价
Security Hub 可能会通过更新 Amazon Config 配置项目来影响您的AWS::Config::ResourceCompliance配置记录器成本。每当与 Amazon Config 规则关联的 Security Hub 控件更改合规状态、启用或禁用或更新参数时,都可能发生更新。如果您仅将 Amazon Config 配置记录器用于 Security Hub,并且不将此配置项目用于其他用途,我们建议您关闭 Amazon Config 控制台中的录制或 Amazon CLI。这可以降低您的 Amazon Config
成本。您无需为安全检查记录 AWS::Config::ResourceCompliance 即可在 Security Hub 中工作。