服务管理标准: AWS Control Tower - AWS Security Hub
什么是服务管理标准: AWS Control Tower?创建标准在标准中启用和禁用控件查看启用状态和控件状态删除标准服务管理标准的查找字段格式: AWS Control Tower适用于服务管理标准的控制措施: AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务管理标准: AWS Control Tower

本节提供有关服务管理标准的信息: AWS Control Tower.

什么是服务管理标准: AWS Control Tower?

该标准专为 Sec AWS urity Hub 和 AWS Control Tower. 它允许您在 AWS Control Tower 服务中配置 Security Hub 的主动控制 AWS Control Tower 以及侦探控制。

主动控制有助于确保您 AWS 账户 保持合规性,因为它们会标记可能导致违反策略或配置错误的操作。侦探控件可检测您内部的资源不合规(例如,配置错误)。 AWS 账户通过为您的 AWS 环境启用主动和侦测控制,您可以在不同的开发阶段增强您的安全状况。

提示

服务管理标准与 Sec AWS urity Hub 管理的标准不同。例如,您必须在托管服务中创建和删除服务托管标准。有关更多信息,请参阅 Security Hub 中的服务托管标准

在 Security Hub 控制台中API,您可以查看 “服务管理标准:” AWS Control Tower 以及其他 Security Hub 标准。

创建标准

仅当您在中创建标准时,该标准才可用 AWS Control Tower。 AWS Control Tower 使用以下方法之一首次启用适用的控件时创建标准:

Security Hub 控件在 AWS Control Tower 控制台中被标识为 SH。 ControlID(例如,SH。 CodeBuild.1)。

在创建标准时,如果您尚未启用 Security Hub, AWS Control Tower 还会为您启用 Security Hub。

如果您尚未设置 AWS Control Tower,则无法在 Security Hub 控制台、Security Hub 或中查看或访问此标准 AWS CLI。API即使您已经设置了标准 AWS Control Tower,也无法在 Security Hub 中查看或访问此标准,除非先 AWS Control Tower 使用上述方法之一创建该标准。

该标准仅在可用AWS 区域 的地方可 AWS Control Tower 用,包括 AWS GovCloud (US)。

在标准中启用和禁用控件

在 AWS Control Tower 控制台中创建标准后,可以在两个服务中查看该标准及其可用控件。

首次创建标准后,没有任何自动启用的控件。此外,当 Security Hub 添加新控件时,这些控件不会自动启用服务托管标准: AWS Control Tower。您应使用以下方法之一启用和禁 AWS Control Tower 用中标准的控件:

当您在中更改控件的启用状态时 AWS Control Tower,更改也会反映在 Security Hub 中。

但是,在 Security Hub 中禁用已启用的控件会 AWS Control Tower 导致控制偏差。中的控件状态 AWS Control Tower 显示为Drifted。您可以通过在 AWS Control Tower 控制台中选择 “重新注册 OU”,或者 AWS Control Tower 使用上述方法之一禁用并重新启用中的控件来解决这种偏差。

在中完成启用和禁用操作 AWS Control Tower 可帮助您避免控制偏差。

当您在中启用或禁用控件时 AWS Control Tower,该操作将应用于所有账户和区域。如果您在 Security Hub 中启用和禁用控制(不建议用于此标准),则该操作仅适用于当前账户和区域。

注意

中央配置不能用于管理服务管理标准: AWS Control Tower. 如果您使用中央配置,则只能使用该 AWS Control Tower 服务为集中管理的账户启用和禁用本标准中的控件。

查看启用状态和控件状态

您可以使用以下方法之一查看控件的启用状态:

  • Security Hub 控制台、Security Hub API 或 AWS CLI

  • AWS Control Tower 控制台

  • AWS Control Tower API查看已启用的控件列表(请致电 ListEnabledControlsAPI)

  • AWS CLI 查看已启用的控件列表(运行list-enabled-controls命令)

除非您在 Security Hub 中明确启用 AWS Control Tower 该控件,否则您在Disabled中禁用的控件在 Security Hub 中的启用状态为。

Security Hub 根据控件调查发现的工作流程状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息,请参阅 查看控件的详细信息

根据控制状态,Security Hub 计算服务管理标准的安全分数:。 AWS Control Tower此分数仅在 Security Hub 中可用。此外,您只能在 Security Hub 中查看控件调查发现。中没有标准安全评分和控制结果 AWS Control Tower。

注意

启用服务管理标准:的控件后 AWS Control Tower,Security Hub 最多可能需要 18 小时才能为使用现有 AWS Config 服务关联规则的控件生成调查结果。如果您在 Security Hub 中启用了其他标准和控件,则可能已有与服务相关的规则。有关更多信息,请参阅 有关运行安全检查的计划

删除标准

您可以使用以下方法之一禁 AWS Control Tower 用所有适用的控件,从而在中删除此标准:

禁用所有控件会删除 AWS Control Tower中所有托管账户和受管辖区域中的标准。 AWS Control Tower 删除中的标准会将其从 Security Hub 控制台的 “标准” 页面中删除,并且您无法再使用 Security Hub API 或访问该标准 AWS CLI。

注意

在 Security Hub 中禁用标准中的所有控件并不能禁用或删除该标准。

禁用 Security Hub 服务会移除服务管理标准: AWS Control Tower 以及您已启用的任何其他标准。

服务管理标准的查找字段格式: AWS Control Tower

创建服务管理标准: AWS Control Tower 并对其启用控制后,您将开始在 Security Hub 中收到控制结果。Security Hub 在 AWS 安全调查结果格式 (ASFF) 中报告控件调查发现。以下是该标准的 Amazon 资源名称 (ARN) 的ASFF值,以及GeneratorId

  • 标准 ARNarn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

  • GeneratorIdservice-managed-aws-control-tower/v/1.0.0/CodeBuild.1

有关服务托管标准:的调查结果示例 AWS Control Tower,请参阅Security Hub 中的示例控件调查发现

适用于服务管理标准的控制措施: AWS Control Tower

服务管理标准: AWS Control Tower 支持 AWS 基础安全最佳实践 (FSBP) 标准中的一部分控件。从下表中选择一个控件以查看有关该控件的信息,包括失败的调查发现的补救步骤。

以下列表显示了服务管理标准的可用控件: AWS Control Tower. 对控制的区域限制与标准中对必然控制的区域限制相符。FSBP此列表显示了与标准无关的安全控制。IDs在 AWS Control Tower 控制台中,控IDs件格式化为 SH。 ControlID(例如 SH。 CodeBuild.1)。在 Security Hub 中,如果在账户中关闭了整合的控件调查发现,则 ProductFields.ControlId 字段将使用基于标准的控件 ID。基于标准的对照 ID 的格式为 CT。 ControlId(例如,CT。 CodeBuild.1)。

有关此标准的更多信息,请参阅 AWS Control Tower 用户指南中的 Security Hub 控件。