安全中心中的組態原則如何運作 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全中心中的組態原則如何運作

委派的 AWS Security Hub 系統管理員可以建立組態原則,以設定組織的 Security Hub、安全性標準和安全性控制。建立組態原則後,委派的管理員可以將其與特定帳戶、組織單位 (OUs) 或根建立關聯。然後策略會在指定的帳號或根帳OUs號中生效。

如需中央組態優點及其運作方式的背景資訊,請參閱了解安全中心中的中央配置

本節提供組態原則的詳細概觀。

政策考量

在 Security Hub 中建立組態原則之前,請考慮下列詳細資料。

  • 配置策略必須關聯才能生效 — 建立配置策略之後,您可以將其與一個或多個帳號、組織單位 (OUs) 或根建立關聯。組態原則可與帳戶或OUs透過直接應用程式關聯,或透過父 OU 的繼承來建立關聯。

  • 個帳號或 OU 只能與一個組態原則產生關聯 — 為了避免衝突的設定,一個帳號或 OU 只能在任何指定時間與一個組態原則產生關聯。或者,帳戶或 OU 也可以是自我管理的。

  • 配置策略已完成 — 配置策略提供完整的設置規格。例如,子女帳戶無法接受某個策略中某些控制項的設定,以及另一個策略中其他控制項的設定。當您將策略與子帳戶相關聯時,請確保策略指定了您希望子帳戶使用的所有設定。

  • 無法還原配置策略 — 將配置策略與帳戶關聯或OUs之後,沒有選項可以還原配置策略。例如,如果您將停用 CloudWatch 控制項的組態策略與特定帳號產生關聯,然後解除該策略的關聯,則該帳戶中的 CloudWatch 控制項會繼續停用。若要再次啟用 CloudWatch 控制項,您可以將帳戶與啟用控制項的新策略建立關聯。或者,您可以將帳戶變更為自我管理,並啟用帳戶中的每個 CloudWatch 控制項。

  • 組態原則會在您的主區域和所有連結區域中生效 — 設定政策會影響主區域和所有連結區域中的所有關聯帳戶。您無法建立只在部分這些區域中生效的設定原則,而不會在其他區域中生效。例外情況是使用全域資源的控制項。Security Hub 會自動停用與所有區域 (主區域除外) 全域資源相關的控制項。

    以下地區: AWS 在 2019 年 3 月 20 日或之後推出的稱為選擇加入區域。您必須為帳戶啟用此類區域,組態政策在該處生效之前。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需啟用選擇加入區域的指示,請參閱指定哪些區域 AWS 區域 您的帳戶可以AWS 帳戶管理參考指南

    如果您的原則設定的控制項無法在主區域或一或多個連結的區域使用,Security Hub 會略過無法使用的區域中的控制項組態,但會在可用控制項的區域中套用設定。您缺乏在本地區域或任何連結區域中無法使用的控制項的保障。

  • 組態政策是資源 — 組態政策具有 Amazon 資源名稱 (ARN) 和通用唯一識別碼 (UUID),做為資源。使ARN用下列格式:arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID。自我管理的組態沒有ARN或UUID。自我管理組態的識別碼為。SELF_MANAGED_SECURITY_HUB

組態原則的類型

每個組態原則都會指定下列設定:

  • 啟用或停用 Security Hub。

  • 啟用一或多個安全標準

  • 指出在啟用的標準中啟用哪些安全性控制。您可以提供應啟用的特定控制項清單,而 Security Hub 會停用所有其他控制項,包括發行時的新控制項。或者,您可以提供應停用的特定控制項清單,而 Security Hub 會啟用所有其他控制項,包括發行時的新控制項。

  • (可選) 為已啟用的標準中選取的啟用控制項自訂參數

中央配置策略不包括 AWS Config 記錄器設置。您必須分別啟用 AWS Config 並開啟必要資源的記錄,以便 Security Hub 產生控制項發現項目。如需詳細資訊,請參閱設定 AWS Config 適用於 Security Hub

如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。您選擇透過組態原則啟用的其他控制項在所有可用的區域中啟用這些控制項。若要將這些控制項的搜尋結果限制為只有一個區域,您可以更新 AWS Config 記錄器設置並關閉除家庭區域以外的所有區域的全局資源記錄。當您使用中央設定時,您缺少在本地區域或任何連結區域中無法使用的控制項的涵蓋範圍。如需涉及全域資源的控制項清單,請參閱使用全域資源的控制項

第一次在 Security Hub 主控台中建立組態原則時,您可以選擇安全中心建議的原則。

建議的原則會啟用 Security Hub, AWS 基礎安全性最佳做法 (FSBP) 標準,以及所有現有和新FSBP的控制項。接受參數的控制項使用預設值。建議的策略適用於 root(所有帳號OUs,以及新帳號和現有帳號)。建立組織的建議策略之後,您可以從委派的系統管理員帳戶修改它。例如,您可以啟用其他標準或控制項,或停用特定FSBP控制項。如需修改組態原則的指示,請參閱更新組態政策

自訂組態原則

委派系統管理員最多可以建立 20 個自訂組態原則,而非建議的原則。您可以將單一自訂政策與整個組織產生關聯,也可以將不同的自訂政策與不同帳戶和相關聯OUs。對於自訂組態原則,您可以指定所需的設定。例如,您可以建立自訂原則來啟FSBP用網際網路安全中心 (CIS) AWS 基礎基準測試 v1.4.0,以及除了 Amazon Redshift 控件以外的標準中的所有控件。您在自訂組態原則中使用的資料粒度等級取決於整個組織中預定的安全性涵蓋範圍。

注意

您無法將停用 Security Hub 的設定原則與委派的系統管理員帳戶建立關聯。這種策略可以與其他帳戶相關聯,但會略過與委派管理員的關聯。委派的管理員帳戶會保留其目前的組態。

建立自訂組態原則之後,您可以透過更新組態原則來反映建議的組態,以切換至建議的組態原則。不過,在建立第一個原則之後,您看不到在 Security Hub 主控台中建立建議的組態原則的選項。

通過應用和繼承來關聯政策

當您第一次選擇加入中央組態時,您的組織沒有關聯,且其行為方式與選擇加入之前的行為相同。然後委派的系統管理員可以在組態原則、自我管理行為與帳號或根帳OUs號之間建立關聯。可以通過應用程序繼承來建立關聯。

從委派的系統管理員帳戶中,您可以直接將組態原則套用至帳戶、OU 或根目錄。或者,委派的系統管理員也可以將自我管理的指定直接套用至帳戶、OU 或根目錄。

如果沒有直接應用程式,帳戶或 OU 會繼承具有組態原則或自我管理行為的最接近父系的設定。如果最近的父項與組態原則相關聯,則子項會繼承該原則,且只能由主區域中的委派管理員進行設定。如果最接近的父系是自我管理的,則孩子將繼承自我管理的行為,並且可以在每個父項中指定自己的設置 AWS 區域.

應用程序優先於繼承。換句話說,繼承不會覆寫委派系統管理員直接套用至帳戶或 OU 的組態原則或自我管理指定。

如果您直接將組態策略套用至自我管理的帳戶,則該策略會覆寫自我管理的指定。帳戶會進行集中管理,並採用組態策略中反映的設定。

我們建議您直接將設定原則套用至根目錄。如果您將策略套用至根目錄,則加入組織的新帳號將自動繼承根策略,除非您將這些帳號與不同的策略產生關聯或將其指定為自我管理。

在指定時間,只能透過應用程式或繼承與帳戶或 OU 產生關聯。這是為了防止衝突的設定而設計。

下圖說明原則應用程式和繼承在中央組態中的運作方式。

套用和繼承 Security Hub 組態原則

在此範例中,以綠色反白顯示的節點具有已套用的組態原則。以藍色反白顯示的節點沒有套用的組態原則。以黃色反白顯示的節點已指定為自我管理。每個帳戶和 OU 都使用下列組態:

  • OU: 根 (綠色) — 此 OU 使用已套用至其的組態原則。

  • OU: Prod (藍色) — 此 OU 會繼承 OU: 根目錄的組態原則。

  • OU:應用程式 (綠色) — 此 OU 使用已套用的組態原則。

  • 帳戶 1 (綠色) — 此帳戶使用已套用的組態策略。

  • 帳戶 2 (藍色) — 此帳戶會繼承 OU: 應用程式的組態策略。

  • OU: dev (黃色) — 此 OU 是自我管理的。

  • 帳戶 3 (綠色) — 此帳戶使用已套用的組態策略。

  • 帳戶 4 (藍色) — 此帳戶會繼承 OU: dev 的自我管理行為。

  • OU:測試 (藍色) — 此帳戶會從 OU: root 繼承組態策略。

  • 帳號 5 (藍色) — 此帳戶會從 OU: Root 繼承組態原則,因為其直接父系 OU: test 與組態策略沒有關聯。

測試組態原則

為了確保您瞭解設定原則的運作方式,建議您建立一個原則,並將其與測試帳戶或 OU 產生關聯。

若要測試組態原則
  1. 建立自訂組態原則。確認 Security Hub 啟用、標準和控制項的指定設定正確無誤。

  2. 將設定原則套用至沒有任何子帳戶或的測試帳戶或 OU OUs。

  3. 確認測試帳戶或 OU 在您的本地區域和所有連結的區域中以預期的方式使用組態原則。您也可以驗證所有其他帳戶和組織OUs中的帳戶是否保持自我管理,並且可以在每個區域中變更自己的設定。

在單一帳戶或 OU 中測試組態原則之後,您可以將其與其他帳戶和OUs.