安全检查的结果 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全检查的结果

在针对为启用的安全标准启用的控制运行检查时,AWS Security Hub 将生成结果。这些结果使用 AWS Security Finding 格式 (ASFF)。

Security Hub 通常会针对控件的每项安全检查收费。但是,如果多个控制使用相同的 AWS Config 规则,则 Security Hub 仅根据 AWS Config 规则对每个检查收取一次费用。它根据检查为每个控制生成单独的结果。

例如,AWS Config 规则 iam-password-policy 由 CIS AWS Foundations 基准标准中的多个控制以及基础安全最佳实践标准中的 IAM.7 使用。每次 Security Hub 根据该 AWS Config 规则运行检查时,它会为每个相关控制生成单独的结果,但仅为检查收取一次费用。

ASFF 中与控制相关的信息

对于安全检查生成的结果,ASFF 中的 Compliance 字段包含与控制相关的结果详细信息。Compliance 字段包含以下信息。

  • RelatedRequirements 数组,其中包含控制的相关要求列表。

  • 字段,其中包含 Status 为给定控制运行的最新检查的结果。Security Hub之前检查的结果将保持存档状态 90 天。

  • 一个 StatusReasons 对象,其中包含 Compliance.Status 值的原因列表。 对于每个原因,StatusReasons 都包含原因代码和描述。

下表列出了可用的原因代码和说明。

原因代码

Compliance.Status

Description

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

多区域 CloudTrail 跟踪没有有效的指标筛选器。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

多区域 CloudTrail 跟踪不存在指标筛选器。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

该账户没有具备所需配置的多区域 CloudTrail 跟踪。

CLOUDTRAIL_REGION_INVAILD

WARNING

多区域 CloudTrail 跟踪不在当前区域中。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

不存在有效的警报操作。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

账户中不存在 CloudWatch 警报。

CONFIG_ACCESS_DENIED

WARNING

AWS Config 状态为 ConfigError

AWS Config 拒绝访问

验证 AWS Config 是否已启用并已授予足够的权限。

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config 根据规则评估您的资源。

规则不适用于其范围内的 AWS 资源,指定的资源已删除,或者评估规则已删除。

CONFIG_RULE_EVALUATION_ERROR

WARNING

AWS Config 状态为 ConfigError

此原因代码用于几种不同类型的评估错误。

描述提供了具体的原因信息。

错误类型可以是以下类型之一。

  • 由于缺乏权限而无法执行评估。描述提供缺少的特定权限。

  • 参数缺少值或值无效。描述提供参数和参数值的要求。

  • 从 S3 存储桶读取时出错。描述标识存储桶并提供特定错误。

  • 缺少 AWS 订阅。

  • 评估时出现一般超时。

  • 账户暂停。

CONFIG_RULE_NOT_FOUND

WARNING

AWS Config 状态为 ConfigError

找不到支持的 AWS Config 规则。

验证您是否已启用 AWS Config。

RESOURCE_NO_LONGER_EXISTS

NOT_AVAILABLE

Security Hub 存档了此结果,因为该资源不再存在。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

结果处于 WARNING 状态,因为与此规则关联的 S3 存储桶位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch Logs 指标筛选器没有有效的 Amazon SNS 订阅。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

结果处于 WARNING 状态,因为与此规则关联的 SNS 主题位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

THROTTLING_ERROR

NOT_AVAILABLE

相关 API 操作超出了允许的速率。

确定控制的严重性和控制结果

分配给 Security Hub 控制的严重性标识控制的重要性。它确定分配给控制结果的严重性标签。

严重性标准

控制的严重性根据以下标准的评估确定:

  • 威胁参与者利用与控制相关联的配置漏洞的难度如何?

    这种困难由使用漏洞执行威胁场景所需的复杂或复杂程度决定。

  • 薄弱可能导致您的 AWS 账户或资源泄露的可能性如何?

    账户或资源泄露意味着数据或 AWS 基础设施的机密性、完整性或可用性受损。AWS

    受损的可能性表示威胁情形导致您的 AWS 服务或资源中断或违规的可能性。

例如,请考虑以下配置漏洞:

  • IAM 用户访问密钥不会每 90 天轮换一次

  • IAM 根访问密钥存在

两个漏洞都同样难以被对手利用。在这两种情况下,攻击者都可以使用凭证被盗或某种其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。

但是,如果威胁参与者获取根用户访问密钥,则攻击的可能性会高得多,因为根密钥会向他们授予更大的访问权限。因此,根用户密钥不足的严重性更高。

严重性不考虑基础资源的严重性。严重性是与结果关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源更关键。要捕获资源严重性信息,请使用 AWS Security Finding 格式 (ASFF) 的 Criticality 字段。

下表映射了利用难度以及泄露安全标签的可能性。

非常有可能受损

可能遭盗用

不容易受到损害

非常罕见

非常容易利用

重大

重大

轻松利用

重大

使难于利用

Low

极难利用

Low

Low

严重性定义

严重性标签定义如下。

Critical – 应立即修复此问题,以避免其升级。

例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于如此多的参与者扫描开放的 S3 存储桶,因此,公开的 S3 存储桶中的数据可能会被其他人发现和访问。

通常,可公开访问的资源被视为关键安全问题。您应该立即处理关键结果。您还应考虑资源的重要性。

高 – 必须将此问题作为短期优先级解决。

例如,如果默认 VPC 安全组对入站和出站流量开放,则将其视为高严重性。使用该方法,威胁参与者破坏 VPC 会很容易。威胁参与者也可能能够在资源位于 VPC 中后将其中断或泄漏。

Security Hub 建议您将高严重性结果视为短期优先级。您应该立即采取补救措施。您还应考虑资源的重要性。

Medium – 应将此问题作为中等优先级进行解决。

例如,传输中的数据缺少加密将被视为具有“中”严重性的结果。它需要一个复杂的中间人攻击来利用这一缺点。换句话说,这有些困难。如果威胁场景成功,某些数据可能会遭盗用。

Security Hub 建议您尽早调查牵涉的资源。您还应考虑资源的重要性。

Low – 问题不要求自行执行操作。

例如,未能收集取证信息被认为具有“低”严重性。这种控制有助于防止未来的攻击,但缺少取证不会直接导致损害。

您无需立即对低严重性结果采取措施,但当您将这些结果与其他问题关联时,它们可提供上下文。

信息性 – 未找到配置弱值。

换言之,状态为 PASSED

没有建议的操作。信息性结果可帮助客户证明其处于合规状态。

从结果中确定控制的总体状态

在安全检查生成的结果中,为 Compliance.Status 字段分配了下列值之一。

  • PASSED。 如果 Compliance.StatusPASSED,则 Security Hub 会自动将 Workflow.Status 设置为 RESOLVED

  • FAILED

  • WARNING–表示检查已完成,但 Security Hub 无法确定资源是处于 PASSED 还是 FAILED 状态。

  • NOT_AVAILABLE – 表示由于服务器发生故障、资源已删除或 AWS Config 评估结果为 NOT_APPLICABLE 而无法完成检查。

    如果 AWS Config 评估结果为 NOT_APPLICABLE,则 Security Hub 会自动存档结果。

每个控制的总体状态基于该控制的活动结果的 Compliance.Status 值。对于主账户,整体状态包括主账户和成员账户中的活动结果。

整体状态会忽略 Workflow.StatusSUPPRESSED 的结果。

可用的总体状态值如下所示:

  • Passed (已通过) – 指示所有结果的 Compliance.Status 都为 PASSED

  • 失败 – 指示至少有一个结果的 Compliance.StatusFAILED

  • 未知 – 指示至少有一个结果的 Compliance.StatusWARNINGNOT_AVAILABLE。 没有结果为 FAILED

  • No data (无数据) – 表示没有实施该控制的结果。例如,新控制将具有此状态,直到它开始生成结果。如果所有结果均为 SUPPRESSED,则控制也将具有此状态。

确定安全标准的安全分数

Security standards (安全标准) 页面上,每个启用的标准均显示一个介于 0% 和 100% 之间的安全分数。

安全分数表示已通过控件与已启用控件的比例。此分数以百分比形式显示。例如,如果为一个标准启用了 10 个控制,其中七个控制处于已通过状态,则安全分数为 70%。

对于主账户,该分数同时反映主账户和所有成员账户。

安全分数计算不包括没有任何结果的已启用控制(总体状态为 No data (无数据))。例如,一个标准启用了 12 个控制。其中六个控件处于已通过状态。两个控件没有数据。由于计算忽略了没有数据的控件,因此,安全分数为 60%。

Summary (摘要) 页面上,Security standards (安全标准) 卡显示每个已启用标准的安全分数。它还显示一个综合安全分数,表示所有已启用标准中的已通过控件与已启用控件的比例。

用于更新控制结果的规则

如果针对给定规则的后续检查生成新的结果(例如,“Avoid the use of the root account”(避免使用根账户) 状态从 FAILED 变为 PASSED),则会生成新结果以包含最新的结果。

如果根据给定规则进行的后续检查生成与当前结果相同的结果,则更新现有结果。不会生成新结果。

Security Hub 如果删除关联的资源、资源不存在或禁用了控制,则会自动存档来自控制的查找结果。由于当前未使用关联的服务,资源可能不再存在。结果将根据以下条件之一自动存档:

  • 查找结果在三天内没有更新。

  • 关联的 AWS Config 评估返回了 NOT_APPLICABLE