服务托管标准:Amazon Control Tower
本部分提供有关服务托管标准的信息:Amazon Control Tower
什么是服务托管标准:Amazon Control Tower?
此标准专为 Amazon Security Hub CSPM 和 Amazon Control Tower 而设计。它允许您在 Amazon Control Tower 服务中配置 Security Hub CSPM 的 Amazon Control Tower 主动控件以及检测性控件。
主动控件有助于确保 Amazon Web Services 账户 保持合规性,因为它们会标记可能导致违反策略或配置错误的操作。侦探控件可检测您内部的资源不合规(例如,配置错误)。Amazon Web Services 账户通过为 Amazon 环境启用主动和侦探控件,您可以在不同的开发阶段增强安全状况。
提示
服务托管标准与 Amazon Security Hub CSPM 管理的标准不同。例如,您必须在托管服务中创建和删除服务托管标准。有关更多信息,请参阅 Security Hub CSPM 中的服务托管标准。
在 Security Hub CSPM 控制台和 API 中,您可以查看服务托管标准:Amazon Control Tower 以及其他 Security Hub CSPM 标准。
创建标准
仅当您在 Amazon Control Tower 中创建标准时,该标准才可用。当您使用以下方法之一首次启用适用的控件时,Amazon Control Tower 将创建标准:
-
Amazon Control Tower 管理控制台
-
Amazon Control Tower API(调用
EnableControlAPI) -
Amazon CLI(运行
enable-control命令)
Security Hub CSPM 控件在 Amazon Control Tower 控制台中被标识为 SH.ControlID(例如,SH.CodeBuild.1)。
在创建标准时,如果您尚未启用 Security Hub CSPM,Amazon Control Tower 还会为您启用 Security Hub CSPM。
如果您尚未设置 Amazon Control Tower,则无法在 Security Hub CSPM 控制台、Security Hub CSPM API 或 Amazon CLI 中查看或访问此标准。即使您已经设置了 Amazon Control Tower,也无法在 Security Hub CSPM 中查看或访问此标准,除非先在 Amazon Control Tower 中使用上述方法之一创建该标准。
该标准仅在 Amazon Control Tower 可用的 Amazon Web Services 区域 中可用,包括 Amazon GovCloud (US)。
在标准中启用和禁用控件
在 Amazon Control Tower 控制台中创建标准后,可以在两个服务中查看该标准及其可用控件。
首次创建标准后,没有任何自动启用的控件。此外,当 Security Hub CSPM 添加新控件时,不会自动为服务托管标准 Amazon Control Tower 启用这些控件。您应使用以下方法之一在 Amazon Control Tower 中启用和禁用标准控件:
-
Amazon Control Tower 管理控制台
-
Amazon Control Tower API(调用
EnableControl和DisableControlAPI) -
Amazon CLI(运行
enable-control和disable-control命令)
当您在 Amazon Control Tower 中更改控件的启用状态时,更改也会反映在 Security Hub CSPM 中。
但是,在 Security Hub CSPM 中禁用已在 Amazon Control Tower 启用的控件会导致控件偏差。Amazon Control Tower 中的控件状态显示为 Drifted。您可以通过在 Amazon Control Tower 控制台中选择重新注册 OU,或者 Amazon Control Tower 使用上述方法之一禁用并重新启用中的控件来解决这种偏差。
在 Amazon Control Tower 中完成启用和禁用操作可帮助您避免控制偏差。
当您在 Amazon Control Tower 中启用或禁用控件时,该操作将应用于所有账户和区域。如果您在 Security Hub CSPM 中启用和禁用控件(不建议用于此标准),则该操作仅适用于当前账户和区域。
注意
中心配置不能用于管理服务托管标准:Amazon Control Tower。如果您使用中心配置,则只能使用 Amazon Control Tower 服务为集中管理的账户启用和禁用本标准中的控件。
查看启用状态和控件状态
您可以使用以下方法之一查看控件的启用状态:
-
Security Hub CSPM 控制台、Security Hub CSPM API 或 Amazon CLI
-
Amazon Control Tower 管理控制台
-
用于查看已启用控件列表的 Amazon Control Tower API(调用
ListEnabledControlsAPI) -
查看已启用的控件列表的 Amazon CLI(运行
list-enabled-controls命令)
在 Amazon Control Tower 中禁用的控件在 Security Hub CSPM 中的启用状态为 Disabled,除非您在 Security Hub CSPM 中明确启用该控件。
Security Hub CSPM 根据控件调查发现的工作流状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息,请参阅 查看 Security Hub CSPM 中的控件的详细信息。
根据控件状态,Security Hub CSPM 会计算服务托管标准的安全分数:Amazon Control Tower。此分数仅在 Security Hub CSPM 中可用。此外,您只能在 Security Hub CSPM 中查看控件调查发现。Amazon Control Tower 中没有标准安全评分和控件调查发现。
注意
启用服务托管标准的控件时:Amazon Control Tower,Security Hub CSPM 最多可能需要 18 小时才能为使用现有 Amazon Config 服务相关规则的控件生成调查发现。如果您在 Security Hub CSPM 中启用了其他标准和控件,则可能已有服务相关规则。有关更多信息,请参阅 有关运行安全检查的计划。
删除标准
您可以使用以下方法之一禁用所有适用的控件,从而在 Amazon Control Tower 中删除此标准:
-
Amazon Control Tower 管理控制台
-
Amazon Control Tower API(调用
DisableControlAPI) -
Amazon CLI(运行
disable-control命令)
禁用所有控件会删除 Amazon Control Tower 中所有托管账户和受管辖区域中的标准。删除 Amazon Control Tower 中的标准会将其从 Security Hub CSPM 控制台的标准页面中删除,并且您无法再使用 Security Hub CSPM API 或 Amazon CLI 访问该标准。
注意
在 Security Hub CSPM 中禁用标准中的所有控件并不能禁用或删除该标准。
禁用 Security Hub CSPM 服务会移除服务托管标准:Amazon Control Tower 以及您已启用的任何其他标准。
服务托管标准的调查发现字段格式:Amazon Control Tower
创建服务托管标准:Amazon Control Tower 并对其启用控件后,您将开始在 Security Hub CSPM 中收到控件调查发现。Security Hub CSPM 以 Amazon安全调查发现格式 (ASFF) 报告控件调查发现。以下是本标准的 Amazon 资源名称(ARN)的 ASFF 值,以及 GeneratorId:
-
标准 ARN—
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
生成器—
service-managed-aws-control-tower/v/1.0.0/—CodeBuild.1
有关服务托管标准的调查发现样本:Amazon Control Tower,请参阅 控件调查发现样本。
适用于服务托管标准的控件:Amazon Control Tower
服务托管标准:Amazon Control Tower 支持 Amazon 基础安全最佳实践 (FSBP) 标准中的一部分控件。选择一个控件以查看有关该控件的信息,包括失败的调查发现的补救步骤。
以下列表显示了服务托管标准的可用控件:Amazon Control Tower。对控件的区域限制与 FSBP 标准中对相关控件的区域限制相符。此列表显示了与标准无关的安全控件 ID。在 Amazon Control Tower 控制台中,控件 ID 的格式为 SH.ControlID(例如 SH.CodeBuild.1)。在 Security Hub CSPM 中,如果在账户中关闭了整合的控件调查发现,则 ProductFields.ControlId 字段将使用基于标准的控件 ID。基于标准的控件 ID 的格式为 CT.ControlId(例如,CT.CodeBuild.1)。
-
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
-
[AutoScaling.9] Amazon EC2 Auto Scaling 组应使用 Amazon EC2 启动模板
-
[ElastiCache.6] 早期版本的 ElastiCache(Redis OSS)复制组应启用 Redis OSS AUTH
-
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 Amazon Certificate Manager 提供的证书
-
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
-
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
有关此标准的更多信息,请参阅《Amazon Control Tower 用户指南》中的 Security Hub CSPM 控件。