为 Security Hub 启用和配置 Amazon Config - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Security Hub 启用和配置 Amazon Config

Amazon Security Hub 使用 Amazon Config 规则来运行安全检查并生成大多数控件的调查结果。 Amazon Config 提供了中 Amazon 资源配置的详细视图 Amazon Web Services 账户。它使用规则为您的资源建立基准配置,并使用配置记录器来检测特定资源是否违反了规则的条件。有些规则(称为 Amazon Config 托管规则)是由预定义和开发的 Amazon Config。其他规则是 Security Hub 开发的 Amazon Config 自定义规则。

Amazon Config Security Hub 用于控制的规则称为服务相关规则。服务相关规则允许 Amazon Web Services 服务 诸如 Security Hub 之类的服务关联 Amazon Config 规则在您的账户中创建规则。

要在 Security Hub 中接收控制结果,您必须在您的账户 Amazon Config 中启用并开启对已启用的控件评估的资源的记录。

本页介绍如何启用 Secur Amazon Config ity Hub 和开启资源记录。

启用和配置前的注意事项 Amazon Config

要在 Security Hub 中接收控制结果,您的账户必须在每个 Amazon Config 启用了 Security Hub Amazon Web Services 区域 的地方都启用了控制结果。如果您在多账户环境中使用 Security Hub,则 Amazon Config 必须在管理员账户和所有成员账户的每个区域中启用。

我们强烈建议您在启用任何 Security Hub 标准和控件 Amazon Config 之前开启资源记录功能。这可以帮助您确保控制结果的准确性。

要开启资源录制功能 Amazon Config,您必须具有足够的权限才能以附加到配置记录器的 Amazon Identity and Access Management (IAM) 角色记录资源。此外,请确保其中没有管理任何 Amazon Config 阻止您获得记录资源的权限的IAM策略或策略。 Amazon Organizations Security Hub 控制检查直接评估资源的配置,不考虑组织策略。有关 Amazon Config 录制的更多信息,请参阅Amazon Config 开发者指南》中的 Amazon Config 托管规则列表-注意事项

如果您在 Security Hub 中启用了标准但尚未启用 Amazon Config,则 Security Hub 会尝试按照以下计划创建 Amazon Config 规则:

  • 在您启用标准的当天

  • 在您启用标准的第二天

  • 在您启用标准的第三天

  • 在您启用标准后的 7 天(此后连续每 7 天一次)

如果您使用集中配置,则每次将启用一个或多个标准的配置策略与账户、组织单位 (OUs) 或根关联时,Security Hub 也会尝试创建 Amazon Config 服务相关规则。

在中录制资源 Amazon Config

启用时 Amazon Config,必须指定要 Amazon Config 配置记录器记录哪些 Amazon 资源。通过与服务相关的规则,配置记录器允许 Security Hub 检测资源配置中的更改。

为了让 Security Hub 生成准确的控制结果,您必须 Amazon Config 为与已启用的控件对应的资源开启录入功能。它主要启用具有变更触发计划类型的控件,需要记录资源。有关控件及其相关 Amazon Config 资源的列表,请参阅Security Hub 控制结果所需的 Amazon Config 资源

警告

如果您没有正确配置 Security Hub 控件的 Amazon Config 录制,则可能会导致控制结果不准确,尤其是在以下情况下:

  • 您从未为给定控件录制过资源,也从未在创建该资源类型之前禁用过该资源的记录,也从未将IAM角色附加到不提供资源记录权限的配置记录器。在这些情况下,即使在禁用录制后,您可能已在控件范围内创建了资源,但您仍会收到有关控件的PASSED调查结果。此PASSED发现是默认结果,实际上并不评估资源的配置状态。

  • 您可以禁用记录由特定控件评估的资源。在这种情况下,Security Hub 会保留在您禁用录制之前生成的控制结果,即使该控件未评估新的或更新的资源。这些保留的发现可能无法准确反映资源的当前配置状态。

默认情况下,会 Amazon Config 记录它在运行时发现的所有支持的区域资源。 Amazon Web Services 区域 要接收所有 Security Hub 控制结果,还必须配置 Amazon Config 为记录全局资源。为了节省成本,我们建议仅将全球资源记录在单个区域中。如果您使用中央配置或跨区域聚合,则该区域应该是您的主区域。

在中 Amazon Config,您可以在连续记录每日记录资源状态变化之间进行选择。如果您选择每日记录,则在资源状态发生变化时, Amazon Config 会在每 24 小时的周期结束时提供资源配置数据。如果没有任何更改,则不会传送任何数据。这可能会将变更触发的控件的 Security Hub 发现结果的生成延迟到 24 小时期限完成。

有关 Amazon Config 录制的更多信息,请参阅《Amazon Config 开发者指南》中的录制 Amazon 资源

启用和配置的方法 Amazon Config

您可以通过以下方式之一启用 Amazon Config 和开启资源记录:

  • Amazon Config 控制台-您可以使用控制 Amazon Config 台 Amazon Config 为帐户启用。有关说明,请参阅Amazon Config 开发者指南》中的 Amazon Config 使用控制台进行设置

  • Amazon CLI 或者 SDKs — 您可以使用 Amazon Command Line Interface (Amazon CLI) Amazon Config 为账户启用。有关说明,请参阅《Amazon Config 开发者指南》 Amazon CLI中的 Amazon Config 使用进行设置。 Amazon 软件开发套件 (SDKs) 也适用于多种编程语言。

  • CloudFormation 模板 — 如果您要 Amazon Config 为大量账户启用,我们建议使用名为 “启用” 的 Amazon CloudFormation 模板 Amazon Config。要访问此模板,请参阅《Amazon CloudFormation 用户指南》中的Amazon CloudFormation StackSets 示例模板

    默认情况下,此模板不包括对IAM全球资源的录制。确保仅在一个区域为IAM全球资源开启录制功能,以节省录制成本。如果您启用了跨区域聚合,则这应该是您的 Sec urity Hub 主区域。否则,可以 Amazon Web Services 区域 是任何支持记录IAM全局资源的 Security Hub。我们建议运行一个 StackSet 来记录主区域或其他选定区域中的所有资源,包括IAM全球资源。然后,运行一秒钟 StackSet 以记录除其他区域的IAM全球资源之外的所有资源。

  • Github 脚本 — Security Hub 提供的GitHub 脚本可以启用 Security Hub 和跨区域 Amazon Config 的多个账户。如果您尚未与 Organizations 集成,或者您有一些不属于组织的成员帐户,则此脚本非常有用。

有关更多信息,请参阅优化 Amazon ConfigAmazon Security Hub 以有效管理您的云安全状况

配置.1 控件

如果已禁用 Security Hub 控件,或者您没有 Amazon Config 为已启用的控件开启资源记录,则 Security Hub 控件 Config.1 会在您的账户中生成FAILED调查结果。如果您是组织委托的 Security Hub 管理员,则必须在您的账户和成员账户中正确配置 Amazon Config 录制。如果您使用跨区域聚合,则必须在主区域和所有关联区域中正确配置 Amazon Config 录制(无需在关联区域中记录全球资源)。

要获取 Config.1 的PASSED调查结果,请为所有与启用的 Security Hub 控件相对应的资源开启资源记录,并禁用组织中不需要的控件。这有助于确保您的安全控制检查中没有配置漏洞,并且可以收到有关资源配置错误的准确发现。

生成服务相关规则

对于使用 Amazon Config 服务相关规则的每个控件,Security Hub 都会在您的 Amazon 环境中创建所需规则的实例。

这些服务相关规则特定于 Security Hub。即使已存在相同规则的其他实例,Security Hub 也会创建这些与服务相关的规则。服务相关规则在原始规则名称securityhub前添加一个唯一标识符,在规则名称之后添加一个唯一标识符。例如,对于 Amazon Config 托管规则vpc-flow-logs-enabled,与服务相关的规则名称将类似securityhub-vpc-flow-logs-enabled-12345于。

可用于评估控件的 Amazon Config 托管规则数量有限制。Security Hub 创建的自定义 Amazon Config 规则不计入该限制。即使您的账户中已达到托管规则的 Amazon Config 限制,也可以启用安全标准。要了解有关 Amazon Config 规则限制的更多信息,请参阅《Amazon Config 开发者指南》 Amazon Config中的服务限制

成本考虑因素

Security Hub 可以通过更新 Amazon Config 配置项目来影响您的AWS::Config::ResourceCompliance配置记录器成本。每当与 Amazon Config 规则关联的 Security Hub 控件更改合规状态、启用或禁用或更新参数时,都会进行更新。如果您仅将 Amazon Config 配置记录器用于 Security Hub,并且不将此配置项目用于其他用途,我们建议您在中关闭其录制功能 Amazon Config。这可以降低您的 Amazon Config 成本。您无需为安全检查记录 AWS::Config::ResourceCompliance 即可在 Security Hub 中工作。

有关与资源记录相关的费用的信息,请参阅《Amazon Security Hub 定价》https://www.amazonaws.cn/security-hub/pricing/和《Amazon Config 定价》https://www.amazonaws.cn/config/pricing/