启用和禁用安全标准 - Amazon Security Hub
启用安全标准禁用安全标准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用和禁用安全标准

您可以启用或禁用 Security Hub 中可用的每个安全标准。

在启用任何安全标准之前,请确保已启用 Amazon Config 并配置资源记录。否则,Security Hub 可能无法为适用于标准的控件生成调查发现。有关更多信息,请参阅 正在配置 Amazon Config

注意

启用和禁用标准的说明因您是否使用中心配置而异。本部分介绍其中的区别。集成 Security Hub 和的用户可以使用中央配置 Amazon Organizations。我们建议使用中心配置来简化在多账户、多区域环境中启用和禁用标准的过程。

启用安全标准

在启用安全标准时,适用于该标准的所有控件都会在其中自动启用。Security Hub 还将开始为适用于该标准的控件生成调查发现。

然后,您可以选择每个标准中要启用和禁用的控件。禁用控件会阻止生成该控件的调查发现,并且在计算安全分数时会忽略该控件。

启用 Security Hub 后,Security Hub 会在您首次访问 Security Hub 控制台上的摘要页面或安全标准页面后 30 分钟内计算标准的初始安全分数。在中国地区和 Amazon GovCloud (US) Region生成首次获得安全评分最多需要 24 小时。仅针对您访问这些页面时启用的标准生成分数。此外,必须配置 Amazon Config 资源记录才能显示分数。首次生成分数后,Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示安全评分上次更新的时间。要查看账户中当前启用的标准的列表,请调用 GetEnabledStandards API。

跨多个账户和区域启用标准

要在多个账户和之间启用安全标准 Amazon Web Services 区域,必须使用集中配置

使用中心配置时,委托管理员可以创建启用一个或多个标准的 Security Hub 配置策略。然后,您可以将配置策略与特定的账户和组织单元(OU)或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择在一个 OU 中仅启用 Amazon 基础安全最佳实践 (FSBP),也可以选择在另一个 OU 中启用 FSBP 和互联网安全中心 (CIS) Foundations Benchmark v1. Amazon 4.0。有关创建启用了指定标准的配置策略的说明,请参阅创建和关联 Security Hub 配置策略

如果您使用中心配置,Security Hub 不会在新账户或现有账户中自动启用任何标准。相反,在创建配置策略时,委托管理员会定义要在不同账户中启用哪些标准。Security Hub 提供了一种推荐的配置策略,在该策略中仅启用 FSBP。有关更多信息,请参阅 配置策略的类型

注意

授权的管理员可以创建配置策略来启用除服务管理标准之外的任何标准: Amazon Control Tower。您只能在 Amazon Control Tower 服务中启用此标准。如果您使用中心配置,则只能在 Amazon Control Tower中为集中管理的账户启用和禁用本标准中的控件。

如果您希望某些账户自行配置标准而不是由委托管理员配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域单独配置标准。

在单个账户和区域中启用标准

如果您不使用中心配置或者您是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用标准。但是,您可以使用以下步骤在单个账户和区域中启用标准。

Security Hub console
要在一个账户和区域中启用标准

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 确认您正在要启用该标准的区域中使用 Security Hub。

  3. 在 Security Hub 导航窗格中,选择安全标准

  4. 对于要启用的标准,请选择 Enable(启用)。这也启用了该标准中的所有控件。

  5. 在您要在其中启用标准的每个区域中重复这些步骤。

Security Hub API
要在一个账户和区域中启用标准

  1. 调用 BatchEnableStandards API。

  2. 提供您要启用的标准的 Amazon 资源名称(ARN)。要获取标准 ARN,请调用 DescribeStandards API。

  3. 在您要在其中启用标准的每个区域中重复这些步骤。

Amazon CLI
要在一个账户和区域中启用标准

  1. 运行 batch-enable-standards 命令。

  2. 提供您要启用的标准的 Amazon 资源名称(ARN)。要获取标准 ARN,请运行 describe-standards 命令。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    示例

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 在您要在其中启用标准的每个区域中重复这些步骤。

自动启用默认安全标准

如果您不使用中心配置,Security Hub 会在新账户加入您的组织时自动启用默认安全标准。作为默认标准一部分的所有控件也会自动启用。当前,自动启用的默认安全标准是 Amazon 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) Amazon 基金会基准 v1.2.0。如果您希望在新账户中手动启用标准,您可以关闭自动启用的标准。

如果您使用中心配置,则可以创建启用默认标准的配置策略并将此策略与根相关联。您的所有组织账户和 OU 都将继承此配置策略,除非它们与其他策略关联,或是自行管理账户。

关闭自动启用的标准

以下步骤仅在与中央配置集成 Amazon Organizations 但不使用中央配置时适用。如果您不使用 Organizations 集成,则可以在首次启用 Security Hub 时关闭默认标准,也可以按照禁用标准的步骤操作。

Security Hub console
关闭自动启用的标准

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用管理员账户的凭证登录。

  2. 在 Security Hub 导航窗格中的设置下,选择配置

  3. 账户部分中,关闭自动启用默认标准

Security Hub API
关闭自动启用的标准

  1. 通过 Security Hub 管理员账户调用 UpdateOrganizationConfiguration API。

  2. 要在新成员账户中关闭自动启用的标准,将 AutoEnableStandards 的值设置为 NONE

Amazon CLI
关闭自动启用的标准

  1. 运行 update-organization-configuration 命令。

  2. 包括用于在新成员账户中关闭自动启用的标准的 auto-enable-standards 参数。

    aws securityhub update-organization-configuration --auto-enable-standards

禁用安全标准

在 Security Hub 中禁用安全标准时,会发生以下情况:

  • 适用于该标准的所有控件也将被禁用,除非它们与另一个标准关联。

  • 不再执行对禁用控件的检查,并且不会为禁用控件生成其他结果。

  • 已禁用控件的现有调查发现将在大约 3-5 天后自动存档。

  • Security Hub 为已禁用的控件创建的 Amazon Config 规则已删除。

    这通常会在您禁用标准后的几分钟内发生,但可能需要更长的时间。如果删除规则的第一个请求失败, Amazon Config 则 Security Hub 每 12 小时重试一次。但是,如果您禁用了 Security Hub 或者没有启用任何其他标准,那么 Security Hub 将无法重试该请求,这意味着它无法删除 Amazon Config 规则。如果发生这种情况,并且您需要删除 Amazon Config 规则,请与联系 Amazon Web Services Support。

在多个账户和区域中禁用标准

要在多个账户和区域禁用安全标准,必须使用中心配置

使用中心配置时,委托管理员可以创建禁用一个或多个标准的配置策略。您可以将配置策略与特定账户和 OU 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准(PCI DSS),也可以选择在另一个 OU 中禁用 PCI DSS 和美国国家标准与技术研究所(NIST)SP 800-53 Rev. 5。有关创建禁用指定标准的配置策略的说明,请参阅创建和关联 Security Hub 配置策略

注意

授权的管理员可以创建配置策略来禁用除服务管理标准之外的任何标准: Amazon Control Tower。您只能在 Amazon Control Tower 服务中禁用此标准。如果您使用中心配置,则只能在 Amazon Control Tower中为集中管理的账户启用和禁用本标准中的控件。

如果您希望某些账户自行配置标准而不是由委托管理员配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域单独配置标准。

在单个账户和区域中禁用标准

如果您不使用中心配置或您是自行管理账户,则无法使用配置策略在多个账户和区域中集中禁用标准。但是,您可以使用以下步骤在单个账户和区域中禁用标准。

Security Hub console
在一个账户和区域中禁用标准

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 确认您正在要禁用该标准的区域中使用 Security Hub。

  3. 在 Security Hub 导航窗格中,选择安全标准

  4. 对于要禁用的标准,请选择 Disable(禁用)

  5. 在您要禁用标准的每个区域中重复此操作。

Security Hub API
在一个账户和区域中禁用标准

  1. 调用 BatchDisableStandards API。

  2. 对于您要禁用的每个标准,请提供标准订阅 ARN。要获取已启用标准的订阅 ARN,请调用 GetEnabledStandards API。

  3. 在您要禁用标准的每个区域中重复此操作。

Amazon CLI
在一个账户和区域中禁用标准

  1. 运行 batch-disable-standards 命令。

  2. 对于您要禁用的每个标准,请提供标准订阅 ARN。要获取已启用标准的订阅 ARN,请运行 get-enabled-standards 命令。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    示例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 在您要禁用标准的每个区域中重复此操作。