AWS Security Hub 常見問答集
一般問題
全部開啟什麼是 AWS Security Hub?
AWS Security Hub 是一項雲端安全狀態管理 (CSPM) 服務,可針對 AWS 資源執行自動化、持續的安全最佳實務檢查,協助您識別錯誤組態,並以標準化格式彙總安全提醒 (即調查結果),讓您能更輕鬆地豐富、調查和修復這些提醒。
Security Hub 的主要優勢是什麼?
Security Hub 降低了管理和改善 AWS 帳戶、工作負載和資源安全的複雜性與投入。幾分鐘內便可在您的所有帳戶和區域內啟用 Security Hub,此服務可協助您解決每天可能遇到的重要安全問題。主要優勢包括:
- 只需按一下即可偵測與安全最佳實務的偏差。 Security Hub 針對 AWS 基礎安全最佳實務標準和其他支援的業界最佳實務和標準 (包括 CIS AWS 基準參考指標、國家標準與技術研究所 (NIST) 和支付卡產業資料安全標準 (PCI DSS) 中的控制項),執行連續且自動化的帳戶和資源層級組態檢查。 進一步了解 Security Hub 中支援的標準和控制項。
- 自動以 AWS 和合作夥伴服務的標準化資料格式彙總安全問題清單。 Security Hub 從 AWS 帳戶啟用的安全服務中收集調查結果,例如 Amazon GuardDuty 的入侵偵測問題清單、Amazon Inspector 的漏洞掃描,以及 Amazon Macie 的敏感資料識別問題清單。Security Hub 還會從使用標準 AWS Security 問題清單格式的合作夥伴安全產品收集問題清單,無需耗時的資料剖析和標準化工作。客戶可以指定管理員帳戶,該帳戶可存取其帳戶中所有的問題清單。
- 透過自動回應和修復動作加快平均解决時間。 使用 Security Hub 與 Amazon EventBridge 的整合建立自訂的自動化回應、修復和擴充工作流程,使用其他整合建立安全協同運作自動化與回應 (SOAR) 以及安全資訊和事件管理 (SIEM) 工作流程。也可以使用 Security Hub 自動化規則,以近乎即時的方式自動更新或隱藏調查結果。
- 視覺化 AWS 型應用程式的安全狀態。根據您的特定要求自訂 Security Hub 儀表板,以更輕鬆地識別模式、漏洞和威脅,從而更快地回應。選取並修改您要顯示的小工具,套用並儲存篩選條件以根據特定條件建立內容檢視,然後根據您的需求排定組織安全狀態的資料和檢視的優先順序。
Security Hub 需要多少成本?
Security Hub 的定價分為三個維度:安全檢查的數量、調查結果擷取數量,以及每月處理的自動化規則評估數量。有了 AWS Organizations 的支援,Security Hub 能讓您連接多個 AWS 帳戶並整合這些帳戶的問題清單,以享受整個組織的安全檢查、問題清單擷取事件和自動化規則評估的分級定價。Security Hub 也提供每月 10,000 個問題清單擷取事件的永久免費方案。請參閱 Security Hub 定價頁面,了解最新的定價資訊。
Security Hub 安全檢查會利用 AWS Config 記錄的組態項目。這些安全性檢查都需要 AWS Config,而組態項目的價格有別於 Security Hub。請參閱 AWS Config 定價,以了解詳細資訊。Security Hub 的客戶不會因 Security Hub 啟用的任何 AWS Config 規則額外支付任何費用。Security Hub 啟用的 AWS Config 規則稱為服務連結規則。
在多個標準中出現的控制項會多次收費嗎?
不會。無論控制項連結多少標準,每次針對資源評估控制項時 (即每次安全檢查),您只需支付一次費用。
Security Hub 是區域服務還是全球服務?
Security Hub 是一項區域服務,但支援透過指定彙總區域來跨區域彙總調查結果。客戶必須在每個區域中啟用 Security Hub,以便在該區域檢視問題清單。
Security Hub 支援哪些區域?
Security Hub 的區域可用性列在 AWS 區域表中。
哪些合作夥伴使用 Security Hub?
有許多支援標準化調查結果格式的技術合作夥伴,他們已與 Security Hub 整合。如需詳細資訊,請瀏覽 AWS Security Hub 合作夥伴頁面。
開始使用 AWS Security Hub
全部開啟我如何啟用 Security Hub?
第一次開啟 Security Hub 主控台時,只需選擇「開始使用」,然後選擇「啟用」。Security Hub 使用服務連結角色,其中包含其偵測和彙總問題清單所需的許可和信任政策,以便設定執行安全檢查所需的必要 AWS Config 基礎設施。許多 Security Hub 控制項都需要啟用 AWS Config,才能在帳戶中執行安全檢查。還會推薦您先啟用 AWS Organizations,以便在您組織中簡化啟用 Security Hub。您也可以透過 API 啟用 Security Hub,或使用 AWS CloudFormation 中的 AWS::SecurityHub::Hub 資源
Security Hub 如何跨多個 AWS 帳戶協助管理安全?
- 可以透過在 Security Hub 內設定多個帳戶階層或從 Amazon GuardDuty 等服務匯入現有階層,在區域範圍內管理多個帳戶並整合這些帳戶中的問題清單。透過指定管理員帳戶,您的安全團隊可查看所有帳戶的問題清單,而個別帳戶擁有者僅可查看與其帳戶關聯的問題清單。
- 與 AWS Organizations 整合可讓您在組織中使用 Security Hub 和 AWS Foundational Security 最佳實務標準自動啟用任何帳戶。
- 只需一個步驟,AWS CloudFormation StackSets 就可協助您跨帳戶和區域管理 Security Hub。您可以將整個組織或特定的組織單位 (OU) 指定為動作的目標,這會為新帳戶提供所需的組態。如果您是現有的 Security Hub 客戶,建議您在使用上述任何功能之前,先在 CloudFormation 中使用資源匯入功能,以避免覆寫目前的組態。
什麼是發現項目?
問題清單是潛在的安全問題。Security Hub 對來自 AWS 和第三方服務的安全提醒或問題清單進行彙總、標準化和優先排序,並產生自己的問題清單,作為執行持續和自動化組態檢查的結果。問題清單擷取事件是指新的問題清單擷取到 Security Hub 中或問題清單更新擷取到 Security Hub 中。
什麼是洞見?
洞見是相關問題清單的集合。Security Hub 使用您可以針對唯一環境進一步量身打造的篩選條件,提供受管洞見。例如,洞見有助於識別缺少重要漏洞之安全修補程式的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,或具有公開讀取或寫入許可的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。受管和自訂 Security Hub 會協助您追蹤 AWS 環境中的安全問題。
什麼是 AWS 基礎安全最佳實務標準?
AWS 基礎安全最佳實務標準是由 AWS Security 與具有特定 AWS 產品知識的相關服務團隊合作開發的一組控制項。這些控制項可偵測您的 AWS 帳戶和資源何時偏離安全最佳實務。該標準可讓您持續評估所有 AWS 帳戶和工作負載,以快速識別與最佳實務偏離的領域。該標準提供有關如何改善和維護組織安全狀態的可行和規範性指導。這些控制項包括來自多個 AWS 服務之資源的安全最佳實務,並且每個控制項都會指派一個類別,該類別反映套用的安全功能。
Security Hub 會分析何種調查結果來源?
Security Hub 分析來自多個 AWS 服務的安全提醒或問題清單,包括:AWS Config、Amazon GuardDuty、AWS Health、Amazon Inspector、AWS Firewall Manager、AWS IAM Access Analyzer、AWS IoT Device Defender 和 Amazon Macie。此外,請參閱與 AWS Security Hub 整合並支援標準化問題清單格式的可用第三方合作夥伴產品整合清單。
AWS Config 和 AWS Config 規則與 Security Hub 關聯的方式為何?
Security Hub 是安全與合規服務,可提供安全和合規狀態管理即服務。其使用 AWS Config 和 AWS Config 規則作為其主要機制,來評估 AWS 資源的組態。AWS Config 規則也可用於直接評估資源的組態。其他 AWS 服務 (像是 AWS Control Tower 和 AWS Firewall Manager) 也使用。
使用 Security Hub 和 AWS Config 一致性套件的時機為何?
如果 Security Hub 中已有類似於 PCI-DSS 的合規標準,則全受管的 Security Hub 服務是最輕鬆的操作方式。您可以透過 Security Hub 的整合搭配 Amazon Detective 來調查發現結果,而且您可以使用 Security Hub 整合搭配 EventBridge,來建立自動化或半自動化的修正動作。然而,如果您想要收集自己的合規或安全性標準,其中可能包含安全性、操作或成本最佳化檢查,AWS Config 一致性套件是最適合的方式。
AWS Config 一致性套件是建議的範本,可用於透過將一組 AWS Config 規則和關聯的修正動作封裝為單一實體,從而簡化 AWS Config 規則的管理。此封裝簡化組織間規則和修正動作的部署。您也能夠彙總報告,因為合規摘要的報告可在封裝層級執行。您可以從我們提供的 AWS Config 一致性範例開始,並依需求自訂。
Security Hub 和 AWS Config 一致性套件都支援持續監控嗎?
是的,Security Hub 和 AWS Config 一致性套件都支援持續合規監控。基礎 AWS Config 規則的叫用時機可為定期或在偵測到對資源組態的變更時。這樣可讓您依據組織的政策和指導方針,持續稽核和評定 AWS 資源組態的整體合規情況。
我何時使用 AWS Audit Manager 和 Security Hub?
您應該兩者同時使用,因為它們相互補充。稽核和合規專業人士使用 Audit Manager 持續評定法規和產業標準的合規性。安全和合規專業人士以及 DevOps 工程師使用 Security Hub 持續監控和提升其 AWS 帳戶和資源的安全狀態。Security Hub 進行了符合不同產業和法規架構的自動化安全檢查。Audit Manager 會自動收集這些 Security Hub 檢查產生的問題清單,作為一種形式的證據,將其與其他證據結合,例如 AWS CloudTrail 日誌,協助客戶產生評定報告。
Audit Manager 涵蓋每個受支援架構的一整套控制項,包括擁有與其關聯之自動化證據的控制項,以及需要手動上傳證據的控制項,例如,顯示事件回應計劃。
Security Hub 專注於透過針對 Audit Manager 中每個受支援架構之控制項子集的安全檢查,產生自動化證據。Security Hub 不涵蓋需要來自其他 AWS 服務 (例如 CloudTrail) 之證據的控制項,或需要使用者手動上傳證據的控制項。
我何時使用 AWS Systems Manager 和 Security Hub?
AWS Systems Manager 是 AWS 的營運中樞,可讓您輕鬆地管理基礎設施。Systems Manager OpsCenter 可協助 IT 操作員和 DevOps 工程師診斷和解决與中央位置的 AWS 資源相關的操作問題,而 Systems Manager Explorer 是操作儀表板,可讓您跨 AWS 帳戶和區域檢視操作資料。安全和合規專業人士以及 DevOps 工程師使用 Security Hub 持續監控和提升其 AWS 帳戶和資源的安全狀態。
大多數客戶都會將安全問題 (例如,Amazon S3 儲存貯體可公開存取或在 Amazon EC2 執行個體上偵測到加密貨幣挖礦) 和操作問題 (例如,利用率過低的 Amazon Redshift 執行個體或利用率過高的 Amazon EC2 執行個體) 分開,因為安全問題是敏感的,且通常具有不同的存取需求。因此,他們使用 Security Hub 來了解、管理和修復安全問題,使用 Systems Manager 來了解、管理和修復操作問題。我們也建議您使用 Security Hub 來獲得更專業的安全狀態視圖。
當同一工程師同時處理安全和操作問題時,它可以協助將其合併到一個位置。您可以透過選擇將問題清單傳送至 OpsCenter 和 Explorer 來實現這一點,其中,工程師可以透過 Systems Manager Automation Runbook 調查和修復安全問題以及操作問題。
AWS Control Tower 與 Security Hub 有何不同?
在 Security Hub 中工作
全部開啟我如何發現 Security Hub 中最重要的安全問題?
有幾種方式可以發現最重要的安全問題。Security Hub 儀表板可檢視調查結果最多的資源、安全調查結果量隨時間演變的情況、正在產生最多調查結果的洞察。您可以自訂儀表板來篩選和顯示與您的組織最相關的安全資料。您可以前往洞察頁面,使用受管洞察識別高優先順序的問題。您也可以建立自己的自訂洞見。
Security Hub 可以告訴我如何對照最佳實務或安全標準進行衡量嗎?
是。Security Hub 建立了評分,以顯示您在安全標準方面的表現,並在主要 Security Hub 儀表板上顯示。當您按到安全標準時,您將看到需要注意的控制項摘要。Security Hub 會顯示如何評估控制項,以及如何減輕問題的資訊性最佳實務。
如果我在安全標準方面得分 100%,是不是表示我會通過該安全標準的稽核?
不是。Security Hub 專注於自動化安全檢查。大多數安全標準都有自動化方式無法檢查的多個控制項,這些在 Security Hub 的檢查範圍之外。Security Hub 安全檢查可以協助您為稽核進行準備,但不表示您可以通過與安全標準相關聯的稽核。
對於我最需要的安全資料,Security Hub 可以如何優先排序?
Security Hub 可以如何與我的現有安全操作和修復程序整合?
Security Hub 透過 EventBridge 啟用問題清單匯出,從而支援工作流程選項。您可以使用 EventBridge 以設定與聊天系統 (例如 Slack) 的整合,透過 AWS Lambda 或合作夥伴安全協調流程工具 SIEM 與自動化修復管道的整合,與 ServiceNow 等票證系統的整合。
Security Hub 會取代其他安全服務的主控台嗎,例如 GuardDuty、Inspector 或 Macie?
不會。Security Hub 是互補性的,是這些 AWS 安全服務的附加部分。事實上,Security Hub 會連結回其他主控台,協助您取得其他內容。Security Hub 不會複寫設定、組態或每個安全服務中可用的特定功能。
Security Hub 支援哪些特定的國家標準技術研究所 (NIST) 控制項?
NIST SP 800-53 版本 5 是由美國國家標準技術研究所 (NIST) 開發的網路安全和合規框架,該機構從屬於美國商務部。Security Hub 提供支援特定 NIST SP 800-53 要求的控制項。透過自動安全檢查評估這些控制項。Security Hub 文件提供有關特定控制項以及每個檢查如何對應至特定 CIS AWS 基準參考指標要求的詳細資訊。
Security Hub 支援的特定 PCI DSS 控制項是什麼?
Security Hub 中的支付卡產業資料安全標準 (PCI DSS) 由一組 AWS 安全最佳實務控制項組成。每個控制項都會套用至特定 AWS 資源,並與一個或多個 PCI DSS 要求關聯。Security Hub 現在支援 PCI DSS 3.2.1 版和 4.0.1 版。Security Hub 文件提供有關 Security Hub 的 PCI DSS 檢查如何映射至特定 PCI DSS 需求的詳細資訊。