本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Security Hub CSPM 中的控件类别
每个控件都被分配了一个类别。控件的类别反映了它应用于的安全功能。
类别值包含类别、类别内的子类别以及可选的子类别内的分类器。例如:
+ 识别 > 清单
+ 保护 > 数据保护 > 传输中数据加密
以下是对可用类别、子类别和分类器的描述。
## 识别
了解组织情况以管理系统、资产、数据和功能面临的网络安全风险。
**库存**
该服务是否实施了正确的资源标记策略? 标记策略是否包含资源拥有者?
该服务使用哪些资源? 该服务是否有权使用这些资源?
您是否知道批准的库存? 例如,您是否使用诸如 Amazon S EC2 ystems Manager 和 Service Catalog 之类的服务?
**日志记录**
您是否已安全启用该服务的所有相关日志记录? 日志文件的示例包括以下内容:
+ Amazon VPC 流日志
+ Elastic Load Balancing 访问日志
+ 亚马逊 CloudFront 日志
+ Amazon CloudWatch 日志
+ Amazon Relational Database Service 日志
+ 亚马逊 OpenSearch 服务慢速索引日志
+ X-Ray 跟踪
+ AWS Directory Service 日志
+ AWS Config 物品
+ 快照
## 保护
制定并实施适当的保护措施,以确保提供关键基础设施服务和安全编码实践。
**安全访问管理**
该服务是否在其 IAM 或资源策略中使用最低权限实践?
密码和密钥是否足够复杂? 它们是否已适当轮换?
该服务是否使用多重身份验证(MFA)?
该服务是否避开根用户?
基于资源的策略是否允许公有访问?
**安全网络配置**
该服务是否避免公有和不安全的远程网络访问?
该服务是否 VPCs 正常使用? 例如,是否需要作业才能运行 VPCs?
该服务是否已正确分割和隔离敏感资源?
**数据保护**
静态数据加密——该服务是否加密静态数据?
加密传输中数据——该服务是否对数据进行传输中加密?
数据完整性——该服务是否验证数据的完整性?
数据删除保护——该服务是否保护数据免遭意外删除?
数据管理/使用——您是否使用 Amazon Macie 等服务来跟踪敏感数据的位置?
**API 保护**
该服务是否 AWS PrivateLink 用于保护服务 API 操作?
**保护性服务**
是否有适当的保护性服务? 它们是否提供了正确的覆盖范围?
保护性服务可帮助您转移针对该服务的攻击和破坏。中的保护性服务示例 AWS 包括 AWS Control Tower、、、Vanta AWS WAF AWS Shield Advanced、Secrets Manager、IAM Access Analyzer 和 AWS Resource Access Manager。
**安全开发**
您是否使用了安全编码实践?
您是否避免了诸如开放 Web 应用程序安全项目(OWASP)十大漏洞之类的漏洞?
## Detect
制定并实施适当的活动,以识别网络安全事件的发生。
**检测服务**
是否有适当的检测服务?
它们是否提供了正确的覆盖范围?
AWS 检测服务的示例包括亚马逊 GuardDuty、Sec AWS urity Hub CSPM、Amazon Inspector、Amazon Detective AWS IoT Device Defender、Amazon CloudWatch Alarms 和。 AWS Trusted Advisor
## 响应
制定并实施适当的活动,以便对检测到的网络安全事件采取措施。
**响应措施**
您是否能迅速对安全事件做出响应?
您现在是否有任何“严重”或“高”严重性的调查发现?
**取证**
您是否能够安全地获取服务的取证数据? 例如,您是否获取与实际正面调查发现相关的 Amazon EBS 快照?
您是否设立了取证账户?
## 恢复
制定并实施适当的活动,以维护恢复能力计划,恢复因网络安全事件而受损的任何能力或服务。
**恢复能力**
服务配置是否支持正常故障转移、弹性扩展和高可用性?
您是否已创建备份?