确定安全分数 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

确定安全分数

Security Hub 控制台的摘要页面和控制页面显示所有已启用标准的安全分数摘要。在安全标准页面上,Security Hub 还会显示每个启用的标准的安全分数,介于 0-100% 之间。

首次启用 Security Hub 时,Security Hub 会在您首次访问 Security Hub 控制台上的摘要页面或安全标准页面后 30 分钟内计算出摘要安全分数和标准安全分数。仅针对您访问这些页面时启用的标准生成分数。要查看当前启用的标准列表,请调用 GetEnabledStandards API 操作。此外,必须配置 Amazon Config 资源记录才能显示分数。摘要安全评分是标准安全评分的平均值。

首次生成分数后,Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示安全评分上次更新的时间。

注意

在中国地区和 Amazon GovCloud (US) Region生成首次获得安全评分最多可能需要 24 小时。

如果您启用整合的控件调查发现,则最长可能需要 24 小时才能更新安全评分。此外,启用新的聚合区域或更新关联区域会重置现有的安全分数。Security Hub 最多可能需要 24 小时才能生成包含来自更新区域的数据的新安全分数。

安全评分是如何计算的

安全分数表示通过的控件与已启用的控件的比例。分数显示为四舍五入到最接近的整数的百分比。

Security Hub 会计算您启用的所有标准的摘要安全分数。Security Hub 还会计算每个启用的标准的安全分数。为了计算分数,启用的控件包括状态为通过失败未知的控件。状态为无数据的控件将排除在分数计算之外。

在计算控件状态时,Security Hub 会忽略已存档和隐藏的调查发现。这可能会影响安全分数。例如,如果您隐藏控件的所有失败的调查发现,则其状态将变为已通过,这反过来可以提高安全分数。有关控件状态的详细信息,请参阅 合规状态和控制状态

评分示例:

Standard 已通过的控件 失败的控件 未知控件 标准分数

Amazon 基础安全最佳实践 v1.0.0

168

22

0

88%

独联体 Amazon 基金会基准测试 v1.4.0

8

29

0

22%

独联体 Amazon 基金会基准测试 v1.2.0

6

35

0

15%

NIST 特别出版物 800-53 第 5 版

159

56

0

74%

PCI DSS v3.2.1

28

17

0

62%

在计算摘要安全分数时,Security Hub 在各类标准中只计算每个控件一次。例如,如果您启用了一个适用于三个启用标准的控件,则出于评分目的,它仅算作一个启用的控件。

在此示例中,虽然跨已启用标准的已启用控件总数为 528 个,但出于评分目的,Security Hub 仅对每个唯一控件进行一次计数。唯一启用的控件的数量可能低于 528。如果我们假设唯一启用的控件的数量为 515,并且唯一通过的控件的数量为 357,则汇总分数为 69%。该分数的计算方法是将唯一通过的控件数量除以唯一启用的控件数量。

即使您在当前地区的账户中只启用了一个标准,摘要分数也可能与标准安全分数不同。如果您登录到管理员账户并且成员账户启用了其他标准或不同的标准,则可能会发生这种情况。如果您正在查看聚合区域的分数并且在链接的区域中启用了其他标准或不同的标准,也可能会发生这种情况。

管理员账户的安全评分

如果您登录了管理员账户,则摘要安全分数和标准分数会说明管理员账户和所有成员账户中的控件状态。

如果一个成员账户中的控件状态为失败,则管理员账户中的控件状态为失败,这会影响管理员账户的分数。

如果您已登录管理员账户并正在查看聚合区域的分数,则安全分数会考虑所有成员账户所有关联区域中的控件状态。

安全分数(如果您已设置聚合区域)

如果您设置了聚合 Amazon Web Services 区域,则摘要安全分数和标准分数将全部考虑控制状态 关联区域。

即使在一个关联区域中,控件的状态也为失败,则其在聚合区域中的状态为 失败,这会影响聚合区域分数。

如果您已登录管理员账户并正在查看聚合区域的分数,则安全分数会考虑所有成员账户所有关联区域中的控件状态。