Security Hub 常見問答集

AWS Security Hub 是統一的雲端安全解決方案，可優先處理您的關鍵安全問題，並協助您大規模應對威脅。它透過自動關聯和擴充來自多個來源的安全訊號來偵測關鍵問題，例如態勢管理 (AWS Security Hub CSPM)、漏洞管理 (Amazon Inspector)、敏感資料 (Amazon Macie) 以及威脅偵測 (Amazon GuardDuty)。這可讓安全團隊透過自動化分析和脈絡化洞察，發現並優先處理雲端環境內的作用中風險。透過直觀的視覺化呈現 (包含威脅趨勢與風險概況)，Security Hub 運用近乎即時的風險分析技術，將複雜的安全訊號轉化為切實可行的洞見，助您快速做出更明智的安全決策。此解決方案還包括自動化回應工作流程，可簡化大規模修復作業，協助您降低安全風險、提升團隊工作效率，並將營運中斷風險降至最低。

安全中心 CSPM (雲端安全態勢管理) 提供自動化的安全最佳實務檢查，協助您了解 AWS 帳戶的整體安全態勢。它提供基本的安全態勢訊號，可與其他安全功能組合使用，以優先處理安全問題，並協助您大規模應對威脅。

Security Hub 已增強其功能，從集中式安全調查結果彙整器與安全態勢管理服務，進化為全面的統一雲端安全解決方案。您以前所熟悉的 Security Hub，專注於彙整安全調查結果、安全最佳實務檢查與合規監控，現已升級為 Security Hub CSPM。在此基礎上，Security Hub 現在可以自動關聯多項功能中的安全訊號，包括漏洞管理 (Amazon Inspector)、威脅偵測 (Amazon GuardDuty)、態勢管理 (AWS Security Hub CSPM) 和敏感資料發現 (Amazon Macie)。這項增強的關聯分析功能有助於識別單獨檢視調查結果時可能被忽略的關鍵安全風險。例如，Security Hub 現在可以自動偵測公開暴露且存在關鍵漏洞的資源能否同時存取敏感資料，為確定優先事項與應對措施提供關鍵脈絡資訊。您珍視的安全調查結果彙整與安全態勢管理功能依然完整保留，並因這些新功能而獲得強化。您現有的安全檢查、合規監控及整合功能將維持原有運作模式不變，同時新增強大的關聯、分析、威脅趨勢追蹤、風險概況及自動應對等進階功能。這項改變透過近乎即時的風險分析，將多個安全訊號轉換為切實可行的洞見，更快做出更明智的安全決策，從而協助您保護雲端環境。

AWS Security Hub 已從專注於雲端安全態勢管理 (CSPM) 的服務，演進為統一的雲端安全解決方案。相較預覽版，正式版本的 Security Hub 帶來多項改進，包括：近乎即時的風險分析，提供更完善的風險脈絡資訊，協助更快做出更明智的安全決策；配備提供風險概況視覺化分析的趨勢儀表板，另帶威脅趨勢小工具；統一啟用與管理，透過跨區域與帳戶的單鍵設定簡化作業流程，有效縮短設定時間並降低複雜度。此外，Security Hub 採用簡化的定價模式，合併多項服務 (Amazon Inspector、GuardDuty、Security Hub CSPM) 的定價，以最佳化成本管理並提高預算可預測性。它還提供成本估算工具，協助您規劃投資。

• 統一的安全營運：透過統一的雲端安全解決方案實現集中化管理，更全面地了解您的雲端環境。
• 信心十足的優先級排序：透過自動關聯分析並增強風險脈絡，就關鍵安全問題做出明智決策。 
• 切實可行的安全洞見：透過近乎即時的風險分析 (包含威脅趨勢與風險概況)，取得切實可行的洞見，從而發現您的環境中存在的具體安全風險。
• 簡化大規模應對：透過自動化工作流程與原生工單系統整合，縮短應對時間，協助保護雲端環境。
• 持續安全監控：透過對照產業標準與 AWS 最佳實務的自動化安全檢查，偵測偏離安全實務的情況。

能，您可以同時使用 Security Hub 和 Security Hub CSPM。增強版 Security Hub 是統一的雲端安全解決方案，使用 Security Hub CSPM 進行態勢管理，並與包括 Amazon Inspector、Amazon GuardDuty、Amazon Macie 在內的其他安全服務結合使用。增強版 Security Hub 啟用後，會利用 Security Hub CSPM 提供自動化安全最佳實務檢查與合規監控，同時向這些安全服務新增進階關聯分析、風險調查結果及自動化應對功能。這種方法可讓您保留現有的 Security Hub CSPM 功能，同時取得統一 Security Hub 解決方案的增強版關聯分析與優先級設定功能。雖然您可以選擇要啟用哪些功能，但我們建議您使用完整的統一解決方案，透過自動關聯分析並增強安全訊號脈絡，優先處理並大規模應對關鍵安全問題。

Security Hub 可在不影響現有工作流程的情況下，增強您的安全營運。您可以獲得統一的主控台體驗，合併來自多個服務的安全調查結果，同時在需要時仍可完全存取個別服務主控台。關鍵營運改進包括：透過整合 AWS Organizations 簡化多帳戶部署、集中管理安全調查結果，以及自動執行風險優先級排序，協助團隊優先處理關鍵問題。您現有的安全程序和團隊工作流程將保持不變，但透過合併的檢視與簡化的管理，效率將提升。

啟用 Security Hub 後，其簡化的定價模式將合併多項 AWS 安全服務的費用，納入統一帳單。您不會收到 Amazon Inspector、GuardDuty 和 Security Hub CSPM 的單獨帳單，而是透過 Security Hub 取得涵蓋所有功能的合併價格。此模式主要涵蓋兩個部分：Security Hub 基礎方案 (自動包括在內)，提供風險分析、漏洞管理、安全態勢管理和安全事件應對管理；威脅分析方案 (附加元件)，提供增強的威脅監控功能。未啟用 Security Hub 時，這些服務採用個別服務定價模式。如需詳細資訊，請參閱 Security Hub 定價頁面。

您有兩種部署方法：

統一安全性解決方案 (建議)：正式版的 Security Hub 提供統一的啟用流程，並能透過一個統一的主控台管理您在多個 AWS 區域和帳戶中的偏好設定。

• 啟用 Security Hub 及其基本服務：
• 用於態勢管理的 Security Hub CSPM
• 用於漏洞管理的 Amazon Inspector (Amazon EC2 掃描、Amazon ECR 容器掃描和 AWS Lambda 標準掃描)
• 用於威脅偵測的 Amazon GuardDuty

個別化處理方式：獨立使用安全服務，同時單獨管理安全調查結果。雖然這能實現針對性應用，但您仍需手動關聯調查結果，以識別並優先處理關鍵的安全風險。若要增強版 Security Hub 中的新功能 (例如風險調查結果、趨勢、即時風險分析和自動關聯分析)，必須啟用基本服務 (Security Hub CSPM 和 Amazon Inspector)。如果不啟用這些基本服務，您將無法享受這些安全功能的保護。選擇最符合您特定安全需求與偏好的方法。但是，建議採用統一解決方案，因其提供自動關聯分析並增強安全訊號脈絡，可協助您優先處理並大規模應對安全風險。

Security Hub 是一項區域服務，但支援透過指定彙總區域來跨區域彙總調查結果。客戶必須在每個區域中啟用 Security Hub，以便檢視該區域的調查結果。

增強版 Security Hub 不需要 AWS Config。不過，作為 Security Hub 核心功能之一的 Security Hub CSPM，要求您必須在帳戶中啟用 AWS Config，並將其設定為記錄資源組態變更。AWS Config 需要追蹤這些組態變更，以識別資源中的潛在設定錯誤。

不會，Security Hub 提供統一檢視和進階關聯功能，是其他 AWS 安全服務的補充。雖然 Security Hub 會關聯並擴充來自 Amazon GuardDuty、Amazon Inspector、Amazon Macie 等服務的調查結果，但您可能仍然需要使用個別服務主控台來執行特定設定或詳細調查。Security Hub 提供統一的安全解決方案，可增強整個雲端環境的分析與自動應對功能。

Security Hub 透過自動關聯並擴充多個來源 (例如威脅偵測與漏洞管理) 的安全訊號，協助您優先處理關鍵的安全問題，並大規模應對威脅。透過這種關聯，Security Hub 可以發現並優先處理雲端環境內的作用中風險，並透過直覺的視覺化內容和自然語言摘要，將複雜的安全訊號轉化為切實可行的洞見。這樣，您就可以快速做出更明智的安全決策，同時透過自動化應對工作流程來簡化大規模修復作業。這有助於降低安全風險、提高團隊的工作效率、將潛在的營運中斷風險降至最低，同時全面掌握安全態勢，以保護您的雲端環境。

Security Hub 會將安全方面的調查結果相互關聯，以優先處理雲端環境中的關鍵問題。透過分析資源關係及來自 Amazon Inspector、AWS Security Hub CSPM、Amazon GuardDuty、Amazon Macie 等服務的訊號，增強版 Security Hub 會自動產生風險調查結果，協助您處理關鍵的安全問題。風險調查結果還能協助您直觀理解：不同資源關係、組態與相關調查結果如何相互結合，形成潛在的攻擊路徑。例如：「潛在的憑證遭竊取風險：具備管理型執行個體設定檔且可透過網際網路存取的 EC2 執行個體，存在可透過網路利用的軟體漏洞，且極可能遭惡意利用。」 您可以深入了解可能被利用的資源，並對優先處理哪些問題做出確信的決策，從而識別在孤立檢視調查結果時可能被忽略的複雜安全狀況。

Security Hub 透過分析和關聯不同 AWS 服務的多項安全特徵，來計算風險調查結果的嚴重性。Security Hub 並非孤立地評估這些因素，而是採用脈絡化方法，依據各項因素的相關性進行嚴重性評分。例如，如果某項資源已確定存在漏洞，且該漏洞可能透過網際網路遭利用，或者該資源可存取敏感資料，則其可能獲得更高的嚴重性評分。

易於發現性：用於偵測受威脅資源的自動化工具 (例如連接埠掃描或網際網路搜尋) 的可用性。

遭利用的難易度：威脅行為者利用風險的難易度。例如，若存在開放的網路路徑或設定錯誤的中繼資料，威脅行為者便能更輕易地利用這些風險。

遭利用的可能性：Security Hub 同時運用外部訊號 (例如漏洞利用防護評分系統 (EPSS)) 與內部威脅智慧，判定風險遭利用的可能性。這種綜合性方法適用於評定 Amazon Elastic Compute Cloud (EC2) 執行個體和 AWS Lambda 函式的風險調查結果。

感知性：風險不僅理論上存在，更公開可用或自動遭利用的程度。此因素適用於評定 EC2 執行個體和 Lambda 函式的風險調查結果。

影響力：風險遭利用時可能造成的危害。例如，風險可能導致以下損失：因資料外洩而喪失機密性、因資料損毀而喪失完整性、喪失可用性，或喪失可追溯性。

Security Hub 可協助視覺化呈現漏洞與錯誤設定如何相互串聯，進而形成針對關鍵資源的潛在攻擊路徑。透過自動關聯安全訊號，Security Hub 可識別這些潛在路徑，協助您了解哪些關鍵資源可能受到影響以及潛在風險的範圍。憑藉這些見解，您可以優先處理修復作業，保護關鍵資源，避免風險遭惡意利用。

Security Hub 提供統一的 AWS 資源檢視，將安全態勢、組態細節、應用脈絡等資訊相結合。您可以透過一個合併的檢視，識別網際網路可存取的資產及其相關安全調查結果。這有助於您優先處理關鍵的安全問題，並透過對各類資源進行簡化的安全分析來大規模做出回應。

Security Hub 透過風險概況與威脅變化趨勢提供趨勢分析，協助您了解隨著時間的推移，安全態勢的變動模式。這個統一儀表板中包含可自訂的小工具，用於顯示以風險為基礎的優先事務檢視、視覺化的攻擊路徑及趨勢分析。您可以利用這些功能，追蹤安全態勢的發展，並識別環境中新出現的威脅或重複出現的問題。

Security Hub 透過自動化工作流程並與現有工單系統整合，協助您大規模應對關鍵的安全問題。Security Hub 可將安全訊號轉換為切實可行的洞見，並提供自動應對能力，從而助力降低安全風險，提高團隊工作效率，並最大限度地減少營運中斷。

Security Hub 與 Security Hub CSPM 的調查結果在四個關鍵層面存在差異：來源、類型、格式以及事件傳遞。

• 調查結果的來源：Security Hub 接收來自 Security Hub CSPM (來自安全檢查的調查結果)、Amazon GuardDuty、Amazon Inspector 和 Amazon Macie 的調查結果。Security Hub CSPM 接收來自多項 AWS 服務 (例如 AWS Config、AWS WAF、Amazon GuardDuty、Amazon Inspector) 和第三方合作夥伴工具的調查結果，以及您的自訂調查結果。
• 調查結果的類型：雖然兩者皆接收來自整合式安全服務的調查結果，但增強版 Security Hub 還能透過關聯來自 AWS Security Hub CSPM、Amazon Inspector 及 Amazon Macie 的安全訊號，產生風險調查結果，以識別關鍵的安全風險。這些風險調查結果透過自動關聯多個安全訊號，提供更豐富的脈絡資訊。
• 調查結果的格式：增強版 Security Hub 使用 OCSF (開放式網路安全結構描述架構) 格式，Security Hub CSPM 則使用 ASFF (AWS 安全調查結果格式)。由此格式差異可以看出，它們在安全調查結果管理與分析方面採取截然不同的方法。
• 事件傳遞：Security Hub CSPM 調查結果將透過 Amazon EventBridge 傳遞，其詳細類型為「Security Hub 調查結果 – 已匯入。」 Security Hub 調查結果將透過 EventBridge 傳遞，其詳細類型為「調查結果已匯入 V2。」

增強版 Security Hub 不會收到來自第三方合作夥伴工具的調查結果。不過，您可以繼續將 Security Hub CSPM 與 AWS 合作夥伴工具整合，在 Security Hub CSPM 中傳送、接收及更新調查結果。這樣，您就可以在維持現有合作夥伴工具工作流程的同時，受益於增強的關聯與優先級設定功能，更有效地利用 AWS 原生安全服務調查結果。

不會，資源清單中僅包含我們的安全功能 (Security Hub CSPM、Amazon Inspector、GuardDuty 或 Macie) 可評估的資源類型。但是，這些資源類型中的所有個別資源皆包含在清單中。Security Hub 資源清單檢視提供以安全性為核心的資源清單，顯示支援的資源及其關聯的漏洞、威脅與特徵。此針對性檢視可協助您識別並優先處理關鍵資源，例如透過顯示雲端環境中所有公開暴露的資產。

Security Hub 提供自動化工作流程，並且可與現有工單系統整合，加快應對速度，協助您有效解決安全問題。其利用標準化的開放式網路安全結構描述架構 (OCSF) 格式，可與現有的安全工具 (包括 SIEM、SOAR 和工單系統) 無縫整合。您可以在偏好的通訊管道中設定自動應對動作或觸發警示。此整合方案可協助您有效解決安全問題，縮短應對時間，並減少安全營運中的人工作業。

能否在 Security Hub 中設定不同的委派管理員帳戶，取決於您目前的組態。以下是不同的狀況：

• 如果 Security Hub CSPM 已將委派管理員帳戶定義為組織管理帳戶，Security Hub 可以將委派管理員帳戶設定為您選擇的帳戶。
• 如果 Security Hub CSPM 未定義委派管理員帳戶，Security Hub 可以將委派管理員設定為您選擇的帳戶。
• 如果 Security Hub CSPM 已將委派管理員帳戶定義為組織管理帳戶以外的其他帳戶，則 Security Hub 會自動將委派管理員帳戶設定為與 Security Hub CSPM 相同的帳戶。對任一服務的委派管理員帳戶所做的任何變更，都將同時套用至兩項服務。

為了維持一致的治理與最低權限存取控制原則，我們建議對所有安全功能 (包括 Security Hub、Security Hub CSPM、GuardDuty、Amazon Inspector 和 Macie) 使用同一個委派管理員。

AWS Security Hub 使用 AWS Organizations 政策，在組織成員帳戶中管理 Security Hub 的啟用與設定。您將無法對 AWS Security Hub 使用集中設定，但可繼續對 AWS Security Hub CSPM 使用集中設定。

同時使用 Security Hub 與 Security Hub CSPM 時，若 CSPM 中的所有自動化規則適用於尋找 Security Hub 中也存在的調查結果來源，建議將該等規則移轉到 Security Hub。這樣可以確保能夠在 Security Hub 中看到最終的調查結果狀態，亦可確保在 CSPM 和 Security Hub 中不會對同類型的調查結果使用衝突的規則。

CSPM 實務可識別工作負載、帳戶和資源之間的錯誤設定問題和合規性風險，以維護雲端安全態勢。Security Hub CSPM 是適用於 CSPM 的 AWS 服務，可執行安全最佳實務檢查、彙總提醒，同時協助跨 AWS 帳戶、工作負載和資源啟用自動修復。

第一次開啟 Security Hub CSPM 主控台時，只需選擇「開始使用」，然後選擇「啟用」。Security Hub CSPM 使用服務連結角色，其中包含其偵測和彙總調查結果所需的許可和信任政策，以便設定執行安全檢查所需的必要 AWS Config 基礎設施。許多 Security Hub CSPM 控制項都需要啟用 AWS Config，才能在帳戶中執行安全檢查。

洞見是相關調查結果的集合。Security Hub CSPM 使用您可以針對唯一環境進一步量身打造的篩選條件，提供受管洞見。例如，洞見有助於識別缺少重要漏洞之安全修補程式的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，或具有公開讀取或寫入許可的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。受管和自訂 Security Hub 洞見可協助您追蹤 AWS 環境中的安全問題。

安全標準是基於法規架構或產業最佳實務的控制項集合。Security Hub CSPM 對照控制項進行自動化安全檢查。每個安全檢查由對照單一資源的規則評估組成。單一控制項可能有關多個資源 (例如 IAM 使用者)，安全檢查對照每個資源執行。啟用 Security Hub CSPM 後，系統會針對每個控制項以及與控制項相關聯的每個相關資源，立即開始執行持續的自動化安全檢查。如需支援標準和相關控制項的詳細資訊，請造訪 Security Hub CSPM 標準參考。

AWS 基礎安全最佳實務標準是由 AWS Security 與具備特定 AWS 產品知識的相關服務團隊合作開發的一組控制項。這些控制項可偵測您的 AWS 帳戶和資源何時偏離安全最佳實務。該標準可讓您持續評估所有 AWS 帳戶和工作負載，以快速識別與最佳實務偏離的領域。該標準提供有關如何改善和維護組織安全狀態的可行和規範性指導。這些控制項包括來自多個 AWS 服務之資源的安全最佳實務，並且每個控制項都會指派一個類別，該類別反映套用的安全功能。

是的，Security Hub CSPM 和 AWS Config 一致性套件都支援持續合規監控。基礎 AWS Config 規則的調用時機可為定期或在偵測到對資源組態的變更時。這樣可讓您依據組織的政策和指導方針，持續稽核和評估 AWS 資源組態的整體合規情況。

Security Hub CSPM 提供安全與合規態勢管理服務。其使用 AWS Config 和 AWS Config 規則作為主要機制，來評估 AWS 資源的組態。AWS Config 規則也可用於直接評估資源的組態。其他 AWS 服務 (像是 AWS Control Tower 和 AWS Firewall Manager) 亦使用該等規則。

如果 Security Hub CSPM 中已有類似於 PCI-DSS 的合規標準，則採用全受管的 Security Hub CSPM 功能是最輕鬆的操作方式。您可以透過 Security Hub CSPM 與 Amazon Detective 的整合來調查結果，並使用 Security Hub CSPM 與 EventBridge 的整合來建立自動化或半自動化的修復動作。然而，如果想要收集自己的合規或安全性標準，其中可能包含安全性、操作或成本最佳化檢查，AWS Config 一致性套件是最適合的方式。

AWS Config 一致性套件是建議的範本，可用於透過將一組 AWS Config 規則和關聯的修正動作封裝為單一實體，從而簡化 AWS Config 規則的管理。此封裝簡化組織間規則和修正動作的部署。您也能夠彙總報告，因為合規摘要的報告可在封裝層級執行。您可以從我們提供的 AWS Config 一致性範例開始，並依需求自訂。

AWS Systems Manager 是 AWS 的營運中樞，可讓您輕鬆地管理基礎設施。Systems Manager OpsCenter 可協助 IT 操作員和 DevOps 工程師診斷和解決與中央位置的 AWS 資源相關的操作問題，而 Systems Manager Explorer 是操作儀表板，可讓您跨 AWS 帳戶和區域檢視操作資料。安全與合規專業人士以及 DevOps 工程師使用 Security Hub CSPM 持續監控和提升其 AWS 帳戶及資源的安全態勢。

大多數客戶都會將安全問題 (例如，Amazon S3 儲存貯體可公開存取或在 Amazon EC2 執行個體上偵測到加密貨幣挖礦) 和操作問題 (例如，利用率過低的 Amazon Redshift 執行個體或利用率過高的 Amazon EC2 執行個體) 分開，因為安全問題是敏感的，且通常具有不同的存取需求。因此，他們使用 Security Hub 來了解、管理和修復安全問題，使用 Systems Manager 來了解、管理和修復操作問題。我們也建議您使用 Security Hub CSPM 來獲得更專業的安全態勢視圖。

當同一工程師同時處理安全和操作問題時，它可以協助將其合併到一個位置。您可以透過選擇將調查結果傳送至 OpsCenter 和 Explorer 來實現這一點，其中，工程師可以透過 Systems Manager Automation 執行手冊調查和修復安全問題以及操作問題。

Security Hub 分析來自多個 AWS 服務的安全提醒或調查結果，包括：AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender 和 Amazon Macie。此外，請參閱與 AWS Security Hub 整合並支援標準化調查結果格式的可用第三方合作夥伴產品整合清單。

增強版 Security Hub 易上手，尤其當您同時使用其他 AWS 安全服務時。增強版 Security Hub 具備跨區域與帳戶的統一啟用功能，透過單次點擊即可完成設定，有效降低設定複雜度。啟用 Security Hub 後，系統將自動啟用其基礎服務與附加服務：用於態勢管理的 Security Hub CSPM；用於漏洞管理的 Amazon Inspector 功能 (Amazon EC2 掃描、Amazon ECR 掃描及 AWS Lambda 標準掃描)；用於威脅偵測的 Amazon GuardDuty；以及用於敏感資料偵測的 Amazon Macie。這種統一啟用功能提供全面的安全保障，並且可助您充分利用 Security Hub 的自動關聯分析功能。您可以透過新設計的主控台或 API 啟用增強版 Security Hub。此流程旨在實現無縫銜接，讓您能在不干擾現行營運的情況下，更好地了解自身的安全態勢。

可以，如果您的主要需求是根據安全最佳實務評估 AWS 資源，可以繼續使用 Security Hub CSPM。但是，我們建議您瀏覽增強版 Security Hub，以優先處理並大規模應對關鍵的安全問題。增強版 Security Hub 能自動關聯並擴充跨多項功能的安全訊號，將其轉化為切實可行的洞見，並提供自動化應對工作流程。這有助於降低安全風險、提高團隊的工作效率，將潛在的營運中斷風險降至最低，同時全面掌握安全態勢。 

可以。Security Hub CSPM 建立了評分，以顯示您相比安全標準的表現，並在主要 Security Hub 儀表板上顯示。當您按到安全標準時，會看到需要注意的控制項摘要。Security Hub CSPM 會顯示如何評估控制項，以及如何減輕問題的資訊性最佳實務。

不是。Security Hub CSPM 專注於自動化安全檢查。大多數安全標準都有自動化方式無法檢查的多個控制項，這些在 Security Hub CSPM 的檢查範圍之外。Security Hub CSPM 安全檢查可以協助您為稽核進行準備，但不表示您可以通過與安全標準相關聯的稽核。

可以。透過 Security Hub CSPM，您可以自訂安全檢查，以滿足組織的特定需求。這可以透過自訂參數來完成。例如，您可以定義強式 IAM 密碼的含義，或移除未使用的憑證或停止未使用的執行個體的最長時間。

Security Hub CSPM 支援 CIS AWS 基準參考指標 1.2.0 和 1.4.0 版。Security Hub CSPM 文件提供有關特定控制項以及每個檢查如何對應至特定 CIS AWS 基準參考指標要求的詳細資訊。

Security Hub CSPM 中的支付卡產業資料安全標準 (PCI DSS) 由一組 AWS 安全最佳實務控制項組成。每個控制項都會套用至特定 AWS 資源，並與一個或多個 PCI DSS 要求關聯。Security Hub CSPM 現在支援 PCI DSS 3.2.1 版和 4.0.1 版。Security Hub CSPM 文件提供有關 Security Hub CSPM 的 PCI DSS 檢查如何映射至特定 PCI DSS 需求的詳細資訊。

能，您可以同時使用 Security Hub 和 Security Hub CSPM。增強版 Security Hub 是統一的雲端安全解決方案，包含核心服務 (Security Hub CSPM 和 Amazon Inspector)，並與其他服務 (Amazon GuardDuty 和 Amazon Macie) 整合，可協助您保護雲端環境。雖然您可以選擇要啟用哪些服務，但我們建議您使用完整的統一解決方案，透過自動關聯分析並增強安全訊號脈絡，優先處理並大規模應對關鍵安全問題。