AWS Security Hub 是一種雲端安全狀態管理服務,可根據 AWS 資源執行自動且持續的安全最佳實務檢查。Security Hub 以標準化格式匯總來自各種 AWS 服務和合作夥伴產品的安全提醒 (即問題清單),以便您可以更輕鬆地對其採取動作。為了全面了解 AWS 中的安全狀態,您需要整合多種工具和服務,包括來自 Amazon GuardDuty 的威脅偵測、來自 Amazon Inspector 的漏洞、來自 Amazon Macie 的敏感資料分類、來自 AWS Config 的資源配置問題以及 AWS 合作夥伴網路產品。Security Hub 透過採用 AWS Config 規則的自動化安全最佳實務檢查以及與數十種 AWS 服務和合作夥伴產品的自動化整合,簡化了您了解和改善安全狀態的方式。
Security Hub 可讓您透過所有 AWS 帳戶的綜合安全評分了解整體安全狀態,並透過 AWS 基礎安全最佳實務標準及其他合規架構自動評估 AWS 帳戶資源的安全。它還透過 AWS 安全問題清單格式將數十個 AWS 安全服務和 APN 產品中的所有安全問題清單匯總到單一位置和格式,並透過自動回應和修復支援减少平均修復時間 (MTTR)。Security Hub 與票證、聊天、安全資訊和事件管理 (SIEM)、安全協調自動化與回應 (SOAR)、威脅調查、管控風險和合規 (GRC) 以及事件管理工具進行了開箱即用的整合,為您的使用者提供了完整的安全操作工作流程。
開始使用 Security Hub 只需從管理主控台按幾下,即可開始使用我們 30 天免費試用版匯總問題清單並進行安全檢查。您可以將 Security Hub 與 AWS Organizations 整合,以在您組織中的所有帳戶中自動啟用此服務。
自動、持續的安全最佳實務檢查
Security Hub 為您提供一組稱為 AWS 基礎安全最佳實務標準的自動安全控制。這是由我們的 AWS 安全專家審查的一組高度策劃的安全最佳實務,它們在相關資源發生變更時持續執行,或按設定的定期排程執行。每個控制都有特定的嚴重性分數來協助您為修復工作排定優先順序。我們建議跨所有帳戶和區域啟用此標準,且我們將使用新控制和額外的服務覆蓋範圍更新該標準。
跨 AWS 服務和合作夥伴整合的合併問題清單
Security Hub 會自動收集並合併您環境中啟用的 AWS 安全服務的問題清單,例如 Amazon GuardDuty 中的入侵偵測問題清單、Amazon Inspector 中的漏洞掃描、Amazon Macie 中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策問題清單、IAM Access Analyzer 中可公開存取和跨帳戶的資源,以及 AWS Firewall Manager 中缺少 WAF 涵蓋範圍的資源。AWS Security Hub 還合併來自數十種整合 AWS 合作夥伴網 (APN) 安全解決方案的問題清單。上次更新日期後,所有問題清單都在 Security hub 中儲存達 90 天。
適用於所有問題清單的單一標準化資料格式
傳統意義上,將安全提醒合併到單個系統中時,您需要剖析和規範化每個資料來源,使其成為用於搜尋、分析、回應和修復動作的通用格式。Security Hub 透過引入 AWS Security Findings Format (ASFF) 消除了這些耗時且耗用大量資源的程序。 透過 ASFF,Security Hub 的所有整合合作夥伴 (包括 AWS 服務和外部合作夥伴) 以由超過 1,000 個可用欄位組成的類型良好的 JSON 格式,將其問題清單傳送至 Security Hub。這意味著所有安全問題清單在擷取至 Security Hub 之前,都會先標準化,您無需自行執行任何剖析和標準化。問題清單會以一致的方式識別資源、嚴重性和時間戳記,因此,您可以更輕鬆地搜尋並採取相應動作。
安全標準符合監管和產業合規架構
除了 AWS Foundational Security 最佳實務標準,Security Hub 還提供其他符合產業和監管架構的標準,例如支付卡產業資料安全標準 (PCI DSS) 和 Center for Internet Security (CIS) AWS Foundations Benchmark。這些標準還由連續、自動化的安全檢查提供支援,您只需為安全檢查支付一次費用,而不論它對應至多少標準。
自動回應、修復和擴充動作
您可以使用 Security Hub 與 Amazon EventBridge 的整合建立自訂自動化回應、修復和擴充工作流程。所有 Security Hub 問題清單會自動傳送至 EventBridge,您可以建立 EventBridge 規則,該規則以 AWS Lambda 函數、AWS Step Function 函數或 AWS Systems Manager Automation 執行手冊為目標。這些函數或執行手冊會以額外的資料自動擴充問題清單,會針對問題清單採取自動回應和修復動作。Security Hub 還支援透過自訂動作將問題清單傳送至 EventBridge,以便您可以讓分析師決定何時觸發自動回應或修復動作。Security Hub Automated Response and Remediation (SHARR) 解決方案為您提供預先封裝的 EventBridge 規則,以便您透過 AWS CloudFormation 進行部署。
多帳戶和 AWS Organizations 支援
藉由在 AWS Security Hub 主控台中按幾下滑鼠,您可以連接多個 AWS 帳戶並跨這些帳戶合併問題清單。透過指定管理員帳戶,可讓安全團隊查看所有帳戶的問題清單,而個別帳戶擁有者僅可查看與其帳戶關聯的問題清單。與 AWS Organizations 整合可讓您在組織中使用 Security Hub 和 AWS Foundational Security 最佳實務標準自動啟用任何帳戶。
問題清單的跨區域彙總
AWS Security Hub 可讓您指定彙總工具區域並將部分或所有區域連結至該彙總工具區域,以便您集中檢視所有帳戶和所有連結區域的所有問題清單。將區域連結至彙總工具區域之後,您的問題清單將在區域之間持續同步,以便將對一個區域中的問題清單所做的任何更新複寫到另一個區域。您的彙總工具區域中的 Security Hub 管理員或委派的管理員帳戶可以檢視和管理您的所有問題清單。彙總工具區域中的個別 Security Hub 成員帳戶還可以檢視和管理所有連結區域中的所有問題清單。您的管理員帳戶和彙總工具區域中的 Amazon EventBridge 摘要現在還包含您在所有成員帳戶和連結區域中的所有問題清單,這可讓您透過將這些整合合併到彙總工具區域,來簡化與票務、聊天、事件管理、日誌記錄和自動修復工具的整合。
與票務、聊天、事件管理、調查、GRC、SOAR 和 SIEM 工具整合
除了與傳送 Security Hub 問題清單的數十種 AWS 安全服務和合作夥伴產品整合,Security Hub 還與各種售票、聊天、事件管理、威脅調查、管控、風險和合規 (GRC)、Security Orchestration Automation and Response (SOAR) 及 Security Information and Event Management (SIEM) 工具整合,這些工具可自動從Security Hub 接收問題清單。這些整合包括 Amazon Detective (威脅調查) 和 AWS Audit Manager 之類的 AWS 服務,以及各種合作夥伴工具,例如 Splunk、Slack、PagerDuty、Sumo Logic、ServiceNow ITSM 和 Atlassian 的 Jira Service Management。與 ServiceNow 和 Jira 的整合是雙向的,因此,票據的任何更新會在 Security Hub 中與問題清單同步。
安全分數與摘要儀表板
Security Hub 為每種標準、所有啟用的標準中的每個帳戶提供簡單的 0-100 安全分數,以及與管理員帳戶關聯的所有帳戶的總分。此分數基於標準、帳戶和/或組織通過與失敗的控制數量。此資訊與其他關鍵洞見一起顯示,例如摘要儀表板中哪些資源的安全檢查失敗次數最多,以協助您監控安全狀態。
篩選、分組和儲存問題清單的搜尋
您可以根據欄位以 AWS Security Finding 格式篩選問題清單,並使用 GroupBy 陳述式將問題清單彙總至儲存貯體。例如,您可以篩選問題清單以僅顯示「關鍵」或「高」嚴重性問題清單,然後按資源 ID 將其分組,以查看哪些資源擁有最多的「關鍵」或「高」問題清單。Security Hub 將這些類型搜尋稱為洞見,且 Security Hub 會提供預先封裝的受管洞見,並讓您定義自己的自訂洞見。每個洞見包括時間序列走勢圖,以顯示與洞見相符的問題清單隨時間變化的趨勢。
