本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub CSPM 中的控制類別
每個控制項都會指派一個類別。控制項的類別會反映控制項套用的安全性功能。
類別值包含類別、類別內的子類別,以及可選擇的子類別內的分類器。例如:
+ 識別 > 庫存
+ 保護 > 資料保護 > 加密傳輸中的資料
以下是可用類別、子類別和分類器的說明。
## 識別
發展組織理解,以管理系統、資產、資料和能力的網路安全風險。
**Inventory**
該服務是否實施了正確的資源標記策略? 此標記策略是否包括資源擁有者?
服務使用哪些資源? 這些資源是此服務已核准的資源嗎?
您是否可以查看已核准的庫存? 例如,您是否使用 Amazon EC2 Systems Manager 和 Service Catalog 等服務?
**日誌**
您是否安全地啟用了該服務的所有相關日誌記錄? 日誌檔案的範例包括下列項目:
+ Amazon VPC 流程日誌
+ Elastic Load Balancing 存取日誌
+ Amazon CloudFront 日誌
+ Amazon CloudWatch Logs
+ Amazon Relational Database Service 記錄
+ Amazon OpenSearch Service 慢索引日誌
+ X-Ray 追蹤
+ AWS Directory Service 日誌
+ AWS Config 項目
+ 快照
## 保護
制定和實施適當的保護措施,以確保提供關鍵基礎設施服務和安全編碼實務。
**安全存取管理**
服務是否在其 IAM 或資源政策中使用最低權限實務?
密碼和私密的複雜性是否足夠? 它們是否適當輪換?
此服務是否使用多重因素認證 (MFA)?
服務是否避免根使用者?
以資源為基礎的政策是否允許公開存取?
**安全網路組態**
此服務是否避免公有和不安全的遠端網路存取?
此服務是否正確使用 VPC? 例如,是否需要在 VPC 中執行任務?
此服務是否正確地分割並隔離敏感資源?
**資料保護**
靜態資料加密 – 服務是否加密靜態資料?
傳輸中的資料加密 – 服務是否會加密傳輸中的資料?
資料完整性 – 服務是否驗證資料完整性?
資料刪除保護 – 服務是否保護資料免於意外刪除?
資料管理/使用 – 您是否使用 Amazon Macie 等服務來追蹤敏感資料的位置?
**API 保護**
服務是否使用 AWS PrivateLink 來保護服務 API 操作?
**保護服務**
正確的保護服務是否已就緒? 他們是否提供正確的涵蓋範圍?
保護服務可協助您擺脫針對服務的攻擊和入侵。中的保護服務範例 AWS 包括 AWS Control Tower、 AWS WAF AWS Shield Advanced、Vanta、Secrets Manager、IAM Access Analyzer 和 AWS Resource Access Manager。
**安全開發**
您使用安全的編碼實務嗎?
您是否避免了諸如開放式 Web 應用程式安全專案 (OWASP) 前十個等漏洞?
## 偵測
制定和實施適當的活動,以識別網路安全事件的發生。
**偵測服務**
正確的偵測服務是否已就緒?
他們是否提供正確的涵蓋範圍?
AWS 偵測服務的範例包括 Amazon GuardDuty、 AWS Security Hub CSPM、Amazon Inspector、Amazon Detective AWS IoT Device Defender、Amazon CloudWatch Alarms 和 AWS Trusted Advisor。
## 回應
制定並實施適當的活動,以針對偵測到的網路安全事件採取行動。
**回應動作**
您是否迅速回應安全性事件?
您是否有任何作用中的嚴重或高嚴重性問題清單?
**鑑識**
您可以安全地取得服務的鑑識資料嗎? 例如,您是否取得與真陽性問題清單相關聯的 Amazon EBS 快照?
您是否設立一個鑑識帳戶?
## 復原
制定和實施適當的活動,以維持恢復計劃,並恢復因網路安全事件而受損的任何功能或服務。
**恢復能力**
服務組態是否支援正常容錯移轉、彈性擴展和高可用性?
您是否已建立備份?