此解決方案使用 AWS CloudFormation 範本部署自動化工作流程,以修復與支付卡產業資料安全標準 (PCI DSS) 和 AWS Foundational Security 最佳實踐 (AWS FSBP) 的偏差。
透過此部署,AWS Security Hub 會根據 PCI DSS 和 AWS FSBP 控制持續評估您的 AWS 資源。與控制的偏差會叫用使用 AWS CloudWatch 規則和 AWS Systems Manager Runbook 的自動修復程序。 Security Hub 會使用 AWS Security Finding Format (ASFF) 來處理安全檢查問題清單並確定其優先級。
此解決方案由 AWS 開發。
-
您將建置的項目
-
部署方式
-
成本和授權
-
您將建置的項目
-
此解決方案設定以下內容:
- Security Hub,可根據您的 AWS 資源編譯 PCI DSS 和 AWS FSBP 控制的自動化和持續評估的問題清單。Security Hub 中的自訂動作會將問題清單作為自訂事件傳送至 CloudWatch。*
- CloudWatch 會將 Security Hub 的自訂事件與觸發 AWS Lambda 函數的規則進行比對。
- AWS Lambda 函數會叫用相應的 Systems Manager Runbook,來修復與 PCI DSS 或 AWS FSBP 控制產生偏差的問題清單。
- Systems Manager 會執行 Runbook 中定義的自動修復動作。
*Security Hub 中的 PCI DSS 合規標準旨在協助您進行持續的 PCI DSS 安全活動。這些控制無法驗證您的系統是否符合 PCI DSS 標準。它們無法取代內部工作或保證您將通過 PCI DSS 評估。Security Hub 不會檢查需要手動收集證據的程序控制。
AWS 安全保障服務提供有關建置和維護符合 PCI DSS 的應用程式的具體指南。
-
部署方式
-
若要部署此解決方案,請遵循部署指南中的說明進行操作,其包含以下步驟。
- 如果您還沒有 AWS 帳戶,請在 https://aws.amazon.com 註冊並登入您的帳戶。
- 啟動解決方案。該堆疊需要約 20 分鐘才能部署。在建立堆疊之前,請從頂部工具列中選擇「AWS 區域」。請選擇以下選項之一:
- 測試部署。
Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。
-
成本和授權
-
執行此解決方案時,您須自行支付使用 AWS 服務和任何第三方授權的相關費用。使用此解決方案無須額外付費。
此解決方案包括您能自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的成本。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。定價可能會隨時變更。
提示:在部署解決方案後,建立 AWS Cost and Usage Report 以追蹤相關成本。這些報告會向您帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供各個帳單指標。它們會根據每個月的用量提供成本估算,並在月底彙總資料。如需詳細資訊,請參閱 什麼是 AWS Cost and Usage Report?
