一般性问题

问:什么是 AWS Security Hub?
AWS Security Hub 是一项云安保状况管理(CSPM)服务,可对您的 AWS 资源进行自动、持续的安全最佳实践检查,以帮助您识别错误的配置,并以标准化格式整合您的安全警报(即调查发现),以便您可以更轻松地丰富、调查和修复这些警报。 

问:Security Hub 的主要益处有哪些?
Security Hub 可降低管理的复杂性和工作量,并提高 AWS 账户、工作负载和资源的安全性。您可以在几分钟内在所有账户和区域中启用 Security Hub,该服务可帮助您回答每天可能遇到的基本安全问题。主要益处包括:

  • 只需点击一下即可检查背离安全最佳实践的行为。 Security Hub 对照 AWS 基础安全防御最佳实践标准及其他支持的行业最佳实践和标准( 包括 CIS AWS 基金会基准美国国家标准与技术研究院(NIST)支付卡行业数据安全标准(PCI DSS))中的控制措施运行连续、自动的账户和资源级别配置检查。 详细了解 Security Hub 中提供的支持的标准和控制措施
  • 将来自 AWS 和合作伙伴服务的安全调查发现自动整合成标准化数据格式。 Security Hub 从您的 AWS 账户上启用的安全服务中收集调查发现,例如来自 Amazon GuardDuty 的入侵检测调查发现、来自 Amazon Inspector 的漏洞扫描以及来自 Amazon Macie 的敏感数据识别调查发现。Security Hub 还使用标准化的 AWS 安全调查发现格式收集合作伙伴安全产品的调查发现,从而无需耗时的数据解析和标准化工作。客户可以指定一个管理员账户,该账户可以访问其账户中的所有调查发现。
  • 通过自动响应和修复操作缩短解决问题的平均时间。 通过使用与 Amazon EventBridge 的 Security Hub 集成以及其他集成,创建自定义的自动响应、修复和丰富流程,以创建安全编排自动化和响应(SOAR)以及安全信息和事件管理(SIEM)流程。您还可以使用 Security Hub 自动化规则近乎实时地自动更新或隐藏调查发现。
  • 可视化基于 AWS 的应用程序的安全状况。根据您的具体要求自定义您的 Security Hub 控制面板,以更轻松地识别模式、漏洞和威胁,从而实现更快的响应。选择和修改要显示的小部件,应用和保存筛选条件以根据特定条件创建上下文视图,并根据您的需求确定组织安全状况的数据和视图的优先级。 

问:Security Hub 的成本是多少?
Security Hub 按三个维度定价:安全检查的数量、调查发现摄取事件的数量和每月处理的自动化规则评估数量。在 AWS Organizations 的支持下,Security Hub 允许您连接多个 AWS 账户并整合这些账户的调查发现,从而对整个组织的安全检查、调查发现摄取事件和自动化规则评估享受分级定价。Security Hub 还提供永久免费套餐,包含每月 10000 个调查发现摄取事件。请查看 Security Hub 定价页面,了解最新的定价信息。

Security Hub 安全检查利用了 AWS Config 记录的配置项目。这些安全检查需要使用 AWS Config,并且配置项目的收费独立于 Security Hub。请查看 AWS Config 定价以了解详细信息。Security Hub 客户使用 Security Hub 启用的 AWS Config 规则不会产生单独的费用。通过 Security Hub 启用的 AWS Config 规则称为服务相关的规则

问:Security Hub 是否提供免费试用版?
是。每个区域启用 Security Hub 的每个 AWS 账户都将获得 30 天的免费试用。在试用期内,您将可以访问所有 Security Hub 功能和安全检查,如果您继续在相同的账户和区域使用 Security Hub,将获得每月账单的估算值。

问:我是否会为出现在多个标准中的控制多次付费?
否。无论该控制与多少标准关联,您都只需要为每次对照资源评估控制(即每次安全检查)付费一次。

问:Security Hub 是区域性服务还是全球性服务?
Security Hub 是一项区域性服务,但支持通过指定聚合器区域对调查发现进行跨区域聚合。客户必须在每个区域启用 Security Hub 才能查看该区域的调查发现。

问:Security Hub 支持哪些区域?
Security Hub 的区域可用性在 AWS 区域表中列出。

问:哪些合作伙伴与 Security Hub 合作?
有许多技术合作伙伴支持标准化调查发现格式并已与 Security Hub 集成。请访问 AWS Security Hub 合作伙伴页面了解详细信息。

开始使用 AWS Security Hub

问:什么是云安保状况管理(CSPM)?
CSPM 是一种识别工作负载、账户和资源的错误配置问题和合规风险的实践,以维持您的云安全状况。Security Hub 是 CSPM 的 AWS 服务,可执行安全最佳实践检查、汇总警报,并帮助在 AWS 账户、工作负载和资源之间实现自动修复。
 
问:如何启用 Security Hub?
首次打开 Security Hub 控制台时,只需选择 Get Started(开始使用),然后选择 Enable(启用)。Security Hub 使用服务相关角色,其中包括检测和汇总调查发现以及配置运行安全检查所需的必要 AWS Config 基础设施所需的权限和信任策略。许多 Security Hub 控件都要求激活 AWS Config 才能对账户进行安全检查。还建议您首先启用 AWS Organizations,以便简化在整个组织启用 Security Hub 的过程。您也可以通过 API 启用 Security Hub,或者使用 AWS CloudFormation 中的 AWS::SecurityHub::Hub 资源。
 
问:Security Hub 如何帮助管理多个 AWS 账户的安全性?
 
  • 您可以通过在 Security Hub 中配置多账户层次结构或从 Amazon GuardDuty 等服务导入现有的层次结构来管理一个区域内的多个账户,并整合这些账户的调查发现。通过指定管理员账户,您的安全团队能够查看所有账户的综合调查发现,而个人账户所有者只能查看与其账户相关的调查发现。
  • AWS Organizations 集成使您能够使用 Security Hub 和 AWS 基础安全防御最佳实践标准自动启用组织中的任何账户。
  • AWS CloudFormation StackSets 只需一个步骤即可帮助您跨账户和区域管理 Security Hub。您可以将整个组织或特定的组织单位(OU)指定为操作目标,从而为新账户提供所需的配置。如果您是 Security Hub 的现有客户,我们建议您在使用任何这些功能之前使用 CloudFormation 中的资源导入功能,以避免覆盖您的当前配置。
 
问:什么是调查发现?
调查发现是一个潜在的安全问题。Security Hub 对来自 AWS 和第三方服务的安全警报或调查发现进行汇总、标准化和优先排序,此外还会通过运行持续自动的配置检查生成自己的调查发现。调查发现摄取事件是指将新的调查发现摄取到 Security Hub 或将调查发现更新摄取到 Security Hub 时。
 
问:什么是见解?
见解是相关调查发现的集合。Security Hub 使用筛选条件提供托管见解,您可以根据自己的独特环境进一步定制这些筛选条件。例如,见解有助于识别缺少重要漏洞安全补丁的 Amazon Elastic Compute Cloud(Amazon EC2)实例,或具有公共读取或写入权限的 Amazon Simple Storage Service(Amazon S3)存储桶。自定义的托管 Security Hub 见解可帮助您跟踪 AWS 环境中的安全问题。
 
问:什么是安全标准、控制与安全检查?
安全标准是基于监管框架或行业最佳实践的一系列控制措施。Security Hub 对控制措施进行自动安全检查。每项安全检查都包括针对单个资源进行的规则评估。单个控制可能涉及多个资源(例如 IAM 用户),并且会对每种资源执行安全检查。启用 Security Hub 后,它会立即开始对每个控制以及与该控制关联的每个相关资源进行连续、自动的安全检查。有关支持的标准和相关控制的详细信息,请访问 Security Hub 标准参考。
 
问:什么是 AWS 基础安全防御最佳实践标准?
AWS 基础安全防御最佳实践标准是 AWS 安全与具有特定 AWS 产品知识的相关服务团队合作制定的一组控制措施。这些控制措施可以检测您的 AWS 账户和资源何时偏离安全最佳实践。该标准可使您持续评估所有 AWS 账户和工作负载,以快速识别偏离最佳实践的领域。它为如何改善和维持组织的安全状况提供了切实可行的规范性指导。这些控制措施包括来自多个 AWS 服务的资源的安全最佳实践,并且为每个控制措施分配了一个 类别,以反映其适用的安全功能。
 
问:Security Hub 分析了哪些调查发现来源?
Security Hub 会分析来自多项 AWS 服务的安全警报或调查发现,包括:AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender 和 Amazon Macie。此外,请参阅与 AWS Security Hub 集成并支持标准化调查发现格式的 可用第三方合作伙伴产品集成的列表。
 
问:AWS Config 和 AWS Config 规则与 Security Hub 有何关系?
Security Hub 是一项安全性与合规性服务,可以服务形式提供安全性与合规性状况管理。它将 AWS Config 和 AWS Config 规则用作其评估 AWS 资源配置的主要机制。AWS Config 规则还可以直接用于评估资源配置。它们还可以供其他 AWS 服务使用,如 AWS Control Tower 和 AWS Firewall Manager。

问:何时使用 Security Hub 和 AWS Config 一致性包?
如果 Security Hub 中已存在合规性标准(如 PCI DSS),则最简单的实施方法是使用完全托管的 Security Hub 服务。您可以通过 Security Hub 与 Amazon Detective 的集成调查发现,并且还可以使用 Security Hub 与 EventBridge 的集成构建自动化或半自动化的修复操作。但是,如果您想要制定自己的合规性或安全性标准(其中可包括安全、运行或成本优化检查),则 AWS Config 一致性包是您的理想之选。
 
AWS Config 一致性包是建议的 模板,您可以用它们通过将一组 AWS Config 规则和关联的修复操作打包到单个实体中,来简化 AWS Config 规则的管理。此打包操作可以简化在组织中部署规则和修复操作。它还支持汇总报告,因为可以在包级别报告合规性摘要。您可以从我们提供的 AWS Config 一致性示例入手,然后根据您的需要进行自定义。
 
问:Security Hub 和 AWS Config 一致性包是否均支持持续监控?
是,Security Hub 和 AWS Config 一致性包均支持持续合规性监控合规性。基础 AWS Config 规则可定期调用,也可以在检测到资源配置发生更改时调用。借助该服务,您可以持续审计和评测 AWS 资源配置在整体上是否符合您组织的策略和指南。
 
问:何时使用 AWS Audit Manager 和 Security Hub?
您应该同时使用这二者,因为它们相辅相成。审计与合规专业人员使用 Audit Manager 持续评测法规和行业标准的合规性。安全与合规专业人员以及 DevOps 工程师使用 Security Hub 以持续监控和改善 AWS 账户和资源的安全状况。Security Hub 根据不同的行业和监管框架进行自动化安全检查。Audit Manager 会自动收集这些 Security Hub 检查生成的结果作为证据,并将其与其他证据(如 AWS CloudTrail 日志)结合起来,以帮助客户生成评估报告。
 
Audit Manager 涵盖每个受支持框架中的全套控件,包括具有与之关联的自动化证据的控件以及需要手动上传证据的控件,例如事件响应计划。
Security Hub 专注于通过安全检查生成自动证据,以获取 Audit Manager 中每个受支持框架中的控件子集。需要来自其他 AWS 服务(如 CloudTrail)的证据或需要用户上传的手动证据的控件未涵盖在 Security Hub 中。
 
问:何时使用 AWS Systems Manager 和 Security Hub?
AWS Systems Manager 是 AWS 的运营中心,方便您轻松管理基础设施。Systems Manager OpsCenter 帮助 IT 操作人员和 DevOps 工程师在一个集中的地方诊断和解决与 AWS 资源有关的运营问题,而 Systems Manager Explorer 是一个运营控制面板,它可以为您提供一个跨 AWS 账户和区域的运营数据视图。安全与合规专业人员以及 DevOps 工程师使用 Security Hub 持续监控和改善 AWS 账户和资源的安全状况。
 
由于安全问题非常敏感,通常具有不同的权限要求,大多数客户将其安全问题(例如,可公开访问的 Amazon S3 存储桶,或在 Amazon EC2 实例上检测到的加密挖掘)和运营问题(例如,未充分利用的 Amazon RedShift 实例或过度利用的 Amazon EC2 实例)分开。因此,他们使用 Security Hub 来了解、管理和修复其安全问题,使用 Systems Manager 来了解、管理和修复其运营问题。我们还建议您使用 Security Hub,以便获得对于您的安全状况的更专业视图。
 
在由相同工程师处理安全和运营问题时,Security Hub 有助于在单个位置整合二者。您可以选择将调查发现发送到 OpsCenter 和 Explorer,由工程师通过 Systems Manager 自动化运行手册调查和修复安全问题以及运营问题,以执行此操作。
 
问:AWS Control Tower 与 Security Hub 有何不同?
AWS Control Tower 和 Security Hub 是互补的服务。安全团队、合规专业人员以及 DevOps 工程师使用 Security Hub 持续监控和改善 AWS 账户和资源的安全状况。除了汇总安全调查发现和启用自动修复外,Security Hub 还根据 AWS 基础安全防御最佳实践标准和其他行业和监管标准进行安全最佳实践检查。云管理员和架构师使用 AWS Control Tower 基于 AWS 最佳实践设置和管理安全的多账户 AWS 环境。
 
AWS Control Tower 应用强制性的以及强烈推荐的高级规则,也称为防护机制,这有助于使用服务控制策略(SCP)强制实施策略,并使用 AWS Config 规则检测违反策略的行为。AWS Control Tower 还有助于确保您的默认账户配置符合 Security Hub AWS 基础安全防御最佳实践。
 
客户应将 AWS Control Tower 预防性防护机制与 Security Hub 中的安全最佳实践控制措施结合使用,因为它们相辅相成,有助于确保您的账户和资源处于安全状态。Security Hub 和 AWS Control Tower 已完全集成,因此您可以启用 170 多个 Security Hub 检测控件,这些控件可以直接从 AWS Control Tower 映射到相关的控制目标。

在 Security Hub 中工作

问:如何在 Security Hub 中查看哪些是我最重要的安全问题?
有多种方法可以查看您最重要的安全问题。Security Hub 控制面板可让您了解哪些资源的调查发现最多、您的安全调查发现量如何随着时间的推移而变化、哪些见解产生的调查发现最多。您可以自定义控制面板,以筛选和显示与您的组织最相关的安全数据。您可以进入见解页面,并使用托管见解来识别高优先级问题。您也可以创建自己的自定义见解。
 
问:Security Hub 是否能告诉我如何对照安全最佳实践或安全标准进行衡量?
可以。Security Hub 会创建一个分数来显示您在遵守安全标准方面的表现,并将其显示在 Security Hub 主控制面板上。当您点击进入安全标准时,您将看到需要注意的控件摘要。Security Hub 展示了如何评估控制措施以及如何缓解问题的信息性最佳实践。
 
问:如果我在安全标准方面得分 100%,是否意味着我将通过该安全标准的审计?
否。Security Hub 专注于自动安全检查。大多数安全标准都有各种各样无法以自动化的方式进行检查的控件,这些控件超出了 Security Hub 的范围。Security Hub 安全检查可以帮助您为审计做准备,但它们并不意味着您将通过与安全标准相关的审计。
 
问:我是否能自定义 Security Hub 运行的检查?
可以。通过 Security Hub,您可以进行安全检查以满足组织的特定需求。此操作可以通过自定义参数来完成。例如,您可以定义强 IAM 密码的含义,或者移除未使用的凭证或停止未使用的实例的最大时间段应该是多长。
 
问:Security Hub 如何确定我最需要的安全数据的优先顺序?
Security Hub 使用两种机制来帮助确定调查发现的优先顺序:见解和安全标准。见解是分组或关联的调查发现,可帮助您更快地识别优先级更高的调查发现。见解的示例包括“向我展示所有可能被恶意软件感染的 Amazon EC2 实例”和“向我展示所有可能在 Amazon EC2 实例上泄露数据的案例”。
 
安全标准是基于监管要求或最佳实践的一组控制措施。AWS 已经定义了与标准中的控制措施相一致的特定安全检查。有关 Security Hub 支持的标准的详细信息可以参见 Security Hub 文档
 
问:Security Hub 如何与我现有的安全操作和修复流程集成?
Security Hub 支持通过 EventBridge 导出调查发现,从而支持流程选项。您可以使用 EventBridge 与 Slack 等聊天系统、通过 AWS Lambda 或合作伙伴安全编排工具的自动化修复管线、SIEM 和票证系统(如 ServiceNow)建立集成。
 
问:Security Hub 是否会取代我们的其他安全服务(例如 GuardDuty、Inspector 或 Macie)的控制台?
否。Security Hub 是这些 AWS 安全服务的补充和增加。实际上,Security Hub 将链接回其他控制台,以帮助您获得额外的背景信息。Security Hub 不会复制每项安全服务中可用的设置、配置或专用功能。
 
问:Security Hub 支持哪些具体的 CIS AWS 基金会基准控件?
Security Hub 支持 CIS AWS 基金会基准 v1.2.0 和 v1.4.0。 Security Hub 文档提供了有关具体控制措施以及每项检查如何映射到特定 CIS AWS 基金会基准要求的详细信息。
 
问:Security Hub 支持哪些具体的美国国家标准与技术研究所(NIST)控制措施?
NIST SP 800-53 Rev. 5 是由美国国家标准与技术研究所(NIST)开发的网络安全与合规框架,该机构隶属于美国商务部。Security Hub 提供的控制措施支持精选的 NIST SP 800-53 要求。这些控制措施通过自动安全检查进行评估。 Security Hub 文档提供了有关具体控制措施以及每项检查如何映射到特定 CIS AWS 基金会基准要求的详细信息。
 
问:Security Hub 支持哪些具体的 PCI DSS 控制措施?
Security Hub 中的支付卡行业数据安全标准(PCI DSS)由一组 AWS 安全最佳实践控制措施组成。每种控制措施都适用于特定的 AWS 资源,并与一项或多项 PCI DSS 版本 3.2.1 要求相关。 Security Hub 文档详细说明了 Security Hub 的 PCI DSS 检查如何与具体的 PCI DSS 要求相对应。