本解决方案使用 AWS CloudFormation 模板部署自动工作流,以纠正偏离支付卡行业数据安全标准(PCI DSS)和 AWS 基础安全最佳实践(AWS FSBP)的情况。
通过此部署,AWS Security Hub 不断根据 PCI DSS 和 AWS FSBP 控制评估您的 AWS 资源。控制偏离调用使用 AWS CloudWatch 规则和 AWS Systems Manager 运行手册的自动修复过程。 Security Hub 使用 AWS 安全发现格式(ASFF)处理安全检查结果并对其进行优先级排序。
本解决方案由 AWS 开发。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
本解决方案设置了以下内容:
- Security Hub 汇编对您的 AWS 资源的 PCI DSS 和 AWS FSBP 控制的自动和持续评估的结果。Security Hub 中的自定义操作将结果作为自定义事件发送至 CloudWatch。*
- CloudWatch 将来自 Security Hub 的自定义事件与触发 AWS Lambda 函数的规则相匹配。
- AWS Lambda 函数调用适当 Systems Manager 运行手册来纠正发现的与 PCI DSS 或 AWS FSBP 控制的偏差。
- Systems Manager 执行运行手册中定义的自动修复操作。
*Security Hub 中的 PCI DSS 合规标准旨在帮助您进行 PCI DSS 安全活动。控制无法验证您的系统是否符合 PCI DSS 标准。它们不能取代内部措施或保证您将通过 PCI DSS 评估。Security Hub 不检查需要手动收集证据的过程控制。
关于构建和维护 PCI DSS 兼容应用程序的具体指导可从 AWS 安全保障服务中获得。
-
如何部署
-
要部署此解决方案,请遵循部署指南中的说明操作,其中包括这些步骤。
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 启动解决方案。堆栈部署时间约为 20 分钟。在创建堆栈之前,从顶部工具栏中选择 AWS 区域。选择以下任一方案:
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
-
费用和许可证
-
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?