本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务管理标准: Amazon Control Tower
本节提供有关服务管理标准的信息: Amazon Control Tower.
什么是服务管理标准: Amazon Control Tower?
该标准专为 Sec Amazon urity Hub 云安全态势管理 (CSPM) 和. Amazon Control Tower它允许您在服务中配置 Security Hub CSPM 的主动控制 Amazon Control Tower 以及侦探控制。 Amazon Control Tower
主动控制有助于确保您 Amazon Web Services 账户 保持合规性,因为它们会标记可能导致违反策略或配置错误的操作。侦探控件可检测您内部的资源不合规(例如,配置错误)。 Amazon Web Services 账户通过为您的 Amazon 环境启用主动和侦测控制,您可以在不同的开发阶段增强您的安全状况。
提示
服务管理标准不同于 Security Hub 云 Amazon 安全态势管理 (CSPM) 管理的标准。例如,您必须在托管服务中创建和删除服务托管标准。有关更多信息,请参阅 Security Hub CSPM 中的服务管理标准。
在 Security Hub CSPM 控制台和 API 中,您可以查看服务管理标准: Amazon Control Tower 以及其他 Security Hub CSPM 标准。
创建标准
仅当您在中创建标准时,该标准才可用 Amazon Control Tower。 Amazon Control Tower 使用以下方法之一首次启用适用的控件时创建标准:
-
Amazon Control Tower 控制台
-
Amazon Control Tower API(调用
EnableControlAPI) -
Amazon CLI (运行
enable-control命令)
Security Hub CSPM 控件在控制 Amazon Control Tower 台中被标识为 SH。 ControlID(例如,SH。 CodeBuild.1)。
在创建标准时,如果您尚未启用 Security Hub CSPM, Amazon Control Tower 还会为您启用 Security Hub CSPM。
如果你尚未设置 Amazon Control Tower,则无法在 Security Hub CSPM 控制台、Security Hub CSPM API 或中查看或访问此标准。 Amazon CLI即使您已经进行了设置 Amazon Control Tower,也无法在 Security Hub CSPM 中查看或访问此标准,除非先 Amazon Control Tower 使用上述方法之一创建该标准。
该标准仅在可用Amazon Web Services 区域 的地方可 Amazon Control Tower 用,包括 Amazon GovCloud (US)。
在标准中启用和禁用控件
在 Amazon Control Tower 控制台中创建标准后,可以在两个服务中查看该标准及其可用控件。
首次创建标准后,没有任何自动启用的控件。此外,当 Security Hub CSPM 添加新控件时,这些控件不会自动启用服务管理标准:。 Amazon Control Tower您应使用以下方法之一启用和禁用标准中的 Amazon Control Tower 控件:
-
Amazon Control Tower 控制台
-
Amazon Control Tower API(调用
EnableControl和DisableControlAPIs) -
Amazon CLI (运行
enable-control和disable-control命令)
当您在中更改控件的启用状态时 Amazon Control Tower,更改也会反映在 Security Hub CSPM 中。
但是,在 Security Hub CSPM 中禁用已启用的控件会 Amazon Control Tower 导致控制偏差。中的控件状态 Amazon Control Tower 显示为Drifted。您可以通过在 Amazon Control Tower 控制台中选择 “重新注册 OU”,或者 Amazon Control Tower 使用上述方法之一禁用并重新启用中的控件来解决这种偏差。
在中完成启用和禁用操作 Amazon Control Tower 可帮助您避免控制偏差。
当您在中启用或禁用控件时 Amazon Control Tower,该操作将应用于所有账户和区域。如果您在 Security Hub CSPM 中启用和禁用控件(不建议在本标准中使用),则该操作仅适用于当前账户和区域。
注意
中央配置不能用于管理服务管理标准: Amazon Control Tower. 如果您使用中央配置,则只能使用该 Amazon Control Tower 服务为集中管理的账户启用和禁用本标准中的控件。
查看启用状态和控件状态
您可以使用以下方法之一查看控件的启用状态:
-
Security Hub CSPM 控制台、Security Hub CSPM API 或 Amazon CLI
-
Amazon Control Tower 控制台
-
Amazon Control Tower 用于查看已启用控件列表的 API(调用
ListEnabledControlsAPI) -
Amazon CLI 查看已启用的控件列表(运行
list-enabled-controls命令)
除非您在 Security Hub CSPM 中 Amazon Control Tower 明确启用该控件,否则您在Disabled中禁用的控件在 Security Hub CSPM 中的启用状态为。
Security Hub CSPM 根据控制结果的工作流程状态和合规性状态来计算控制状态。有关启用状态和控件状态的更多信息,请参阅 查看 Security Hub CSPM 中的控制细节。
根据控制状态,Security Hub CSPM 计算服务管理标准的安全分数:。 Amazon Control Tower此分数仅在 Security Hub CSPM 中可用。此外,您只能在 Security Hub CSPM 中查看控制结果。中没有标准安全评分和控制结果 Amazon Control Tower。
注意
启用服务管理标准:的控件时 Amazon Control Tower,Security Hub CSPM 最多可能需要 18 小时才能为使用现有 Amazon Config 服务关联规则的控件生成调查结果。如果您在 Security Hub CSPM 中启用了其他标准和控件,则可能已有与服务相关的规则。有关更多信息,请参阅 有关运行安全检查的计划。
删除标准
您可以使用以下方法之一禁 Amazon Control Tower 用所有适用的控件,从而在中删除此标准:
-
Amazon Control Tower 控制台
-
Amazon Control Tower API(调用
DisableControlAPI) -
Amazon CLI (运行
disable-control命令)
禁用所有控件会删除 Amazon Control Tower中所有托管账户和受管辖区域中的标准。 Amazon Control Tower 删除中的标准会将其从 Security Hub CSPM 控制台的 “标准” 页面中删除,并且您将无法再使用 Security Hub CSPM API 或访问该标准。 Amazon CLI
注意
在 Security Hub CSPM 中禁用标准中的所有控件并不能禁用或删除该标准。
禁用 Security Hub CSPM 服务会移除服务管理标准: Amazon Control Tower 以及您已启用的任何其他标准。
服务管理标准的查找字段格式: Amazon Control Tower
创建服务管理标准: Amazon Control Tower 并对其启用控制后,您将开始在 Security Hub CSPM 中收到控制结果。Security Hub CSPM 在中报告了控制结果。Amazon 安全调查结果格式 (ASFF)以下是本标准的 Amazon 资源名称(ARN)的 ASFF 值,以及 GeneratorId:
-
标准 ARN——
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
有关服务托管标准:的调查结果示例 Amazon Control Tower,请参阅对照结果样本。
适用于服务管理标准的控制措施: Amazon Control Tower
服务管理标准: Amazon Control Tower 支持 Amazon 基础安全最佳实践 (FSBP) 标准中的一部分控件。选择一个控件以查看有关该控件的信息,包括失败的发现结果的补救步骤。
以下列表显示了服务管理标准的可用控件: Amazon Control Tower. 对控件的区域限制与 FSBP 标准中对相关控件的区域限制相符。此列表显示了与标准无关的安全控制。 IDs在 Amazon Control Tower 控制台中,控 IDs 件格式化为 SH。 ControlID(例如 SH。 CodeBuild.1)。在 Security Hub CSPM 中,如果在您的账户中关闭了合并控制结果,则该ProductFields.ControlId字段将使用基于标准的控制 ID。基于标准的对照 ID 的格式为 CT。 ControlId(例如,CT。 CodeBuild.1)。
-
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
-
[AppSync.5] 不应使用 API Amazon AppSync 密 APIs 钥对 GraphQL 进行身份验证
-
[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
-
[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址
-
[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证
-
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager
-
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
-
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规性的状态应为 COMPLIANT
有关该标准的更多信息,请参阅《Amazon Control Tower 用户指南》中的 S ecurity Hub CSPM 控件。