最佳化資訊安全中心的效能 - AWS Security Hub
整合 Security Hub 和 AWS Organizations使用中央配置設定 AWS Config 安 Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

最佳化資訊安全中心的效能

以下建議可以幫助您充分利用 AWS Security Hub。

整合 Security Hub 和 AWS Organizations

AWS Organizations 是一項全域帳戶管理服務,可讓 AWS 管理員整合並集中管理多個單位 AWS 帳戶 和組織單位 (OUs)。它提供帳戶管理和合併帳單功能,旨在支援預算、安全性和合規性需求。它不收取額外費用,並與多個集成 AWS 服務,包括 Security Hub GuardDuty,Amazon 和 Amazon Macie。

為了協助自動化和簡化帳戶管理,我們強烈建議您整合 Security Hub 和 AWS Organizations. 如果您有多個使用資訊 Security Hub 的 Organizations AWS 帳戶 ,則可以與組織整合。

如需啟動整合的指示,請參閱整合 Security Hub AWS Organizations

使用中央配置

當您整合 Security Hub 和組織時,您可 Organizations 選擇使用稱為中央組態的功能,為您的組織設定和管理 Security Hub。我們強烈建議您使用中央組態,因為它可讓系統管理員自訂組織的安全性涵蓋範圍。在適當情況下,委派的系統管理員可以允許成員帳戶設定自己的安全性涵蓋範圍設定。

中央組態可讓委派的系統管理員跨帳戶OUs、和設定 Security Hub AWS 區域。委派的系統管理員會藉由建立組態原則來設定 Security Hub。在組態原則中,您可以指定下列設定:

  • Security Hub 是否已啟用或停用

  • 啟用和停用哪些安全標準

  • 啟用和停用哪些安全控制

  • 是否自訂選取控制項的參數

身為委派的系統管理員,您可以為整個組織建立單一組態原則,或為各種帳戶和建立不同的組態原則OUs。例如,測試帳戶和生產帳戶可以使用不同的配置策略。

集中管理成員帳戶和OUs使用組態原則的帳戶,且只能由委派的系統管理員進行設定。委派的系統管理員可以指定特定的成員帳戶和自我管理,讓成員能夠OUs依區域設定自己的設定。

若要進一步瞭解中央規劃,請參閱了解安全中心中的中央配置

設定 AWS Config 安 Security Hub

AWS Security Hub 使用服務連結 AWS Config 規則對大多數控制項執行安全性檢查。

若要支援這些控制項, AWS Config 必須在每 AWS 區域 個已啟用 Security Hub 的所有帳戶 (包括系統管理員帳戶和成員帳戶) 上啟用。此外,對於每個已啟用的標準,都 AWS Config 必須配置為記錄啟用控制項所需的資源。

我們建議您在啟用 Security Hub 標準之 AWS Config 前,先開啟中的資源記錄。如果 Security Hub 嘗試在資源記錄關閉時執行安全性檢查,則檢查會傳回錯誤。

Security Hub 不會 AWS Config 為您管理。如果您已 AWS Config 啟用,則可以透過 AWS Config 主控台或進行設定APIs。

如果您啟用標準但尚未啟用 AWS Config,Security Hub 會嘗試根據下列排程建立 AWS Config 規則:

  • 在您啟用標準的當天

  • 啟用標準的第二天

  • 啟用標準後 3 天

  • 啟用標準後的 7 天 (之後每 7 天連續一次)

如果您使用中央組態,Security Hub 也會在您重新套用啟用一或多個標準的組態原 AWS Config 則時嘗試建立規則。

啟用 AWS Config

如果 AWS Config 尚未啟用,您可以使用下列其中一種方式啟用它:

  • 主控台或 AWS CLI — 您可以 AWS Config 使用 AWS Config 主控台或手動啟用 AWS CLI。請參閱AWS Config 發人員指南 AWS Config中的開始使用。

  • AWS CloudFormation 範本 — 如果您想要在大量帳號 AWS Config 上啟用,可以 AWS Config 使用 [啟用] CloudFormation 範本啟用 AWS Config。若要存取此範本,請參閱《AWS CloudFormation 使用指南》中的範AWS CloudFormation StackSets 例範本

  • Github 腳本 — Security Hub 提供了一個GitHub 腳本,可為跨區域的多個帳戶啟用 Security Hub。如果您尚未與組織整合,或您的帳戶不屬於組織,則此指令碼非常有用。當您使用此指令碼來啟用 Security Hub 時,它也會自動啟 AWS Config 用這些帳戶。

如需啟用 AWS Config 以協助您執行 Security Hub 安全性檢查的詳細資訊,請參閱最 AWS Config 佳化 AWS Security Hub 以有效管理雲端安全性狀態

在中開啟資源記錄 AWS Config

當您以預設設定開啟中 AWS Config 的資源記錄時,它會記錄所有支援的區域資源類型,這些資源會 AWS Config 探索其執行 AWS 區域 中的所有支援類型。您也可以設定 AWS Config 為記錄支援的全域資源類型。您只需要在單一區域中記錄全域資源 (如果您使用中央設定,我們建議這是您的家區域)。

如果您使用啟 CloudFormation StackSets 用 AWS Config,我們建議您執行兩個不同的功能 StackSets。執行一個, StackSet 以在單一區域中記錄所有資源,包括全域資源。執行一秒鐘, StackSet 以記錄除其他區域中的全域資源以外的所有資源。

您也可以使用「快速設定」功能 AWS Systems Manager,快速設定 AWS Config 跨帳戶和區域的資源記錄。在「快速設定」程序期間,您可以選擇要記錄全域資源的「區域」。若要取得更多資訊,請AWS Config 參閱《AWS Systems Manager 使用指南》中的〈規劃記錄

如果「區域」未記錄 () 全域資源,並啟用了需要IAM記錄全域資源的控制項,則安全性控制項 Config.1 會針對聚總器中的連結區域以外的區域產生失敗的發現項目 AWS Identity and Access Management (完全不在搜尋結果彙總器中IAM)。在連結的區域中,Config.1 不會檢查是否已記錄IAM全域資源。如需每個控制項所需的資源清單,請參閱產生 AWS Config 資 Security Hub 控制項發現項目所需

如果您使用多帳戶指令碼來啟用 Security Hub,它會自動啟用所有區域中所有資源 (包括全域資源) 的資源記錄。然後,您可以更新組態,以便僅在單一「區域」中記錄全域資源。如需詳細資訊,請參閱AWS Config 開發人員指南中的選取哪些資源 AWS Config 記錄

若要讓 Security Hub 準確地報告依賴 AWS Config 規則之控制項的發現項目,您必須啟用相關資源的記錄功能。如需控制項及其相關 AWS Config 資源的清單,請參閱產生 AWS Config 資 Security Hub 控制項發現項目所需。AWS Config 可讓您在連續記錄每日記錄資源狀態變更之間進行選擇。如果您選擇每日記錄,如果資源狀態發生變更,則會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更,則不會傳送任何資料。這可能會延遲產生變更觸發控制項的 Security Hub 發現項目,直到 24 小時期間完成為止。

注意

若要在安全性檢查之後產生新的發現項目並避免發現過時,您必須擁有足夠的權限讓附加至組態錄製程式的IAM角色,才能評估基礎資源。

成本考量

有關與資源記錄相關的費用的詳細信息,請參閱AWS Security Hub 定價AWS Config 定價

Security Hub 可能會透過更新 AWS Config 組態項目來影響您的AWS::Config::ResourceCompliance組態記錄程式成本。每當與 AWS Config 規則相關聯的 Security Hub 控制項變更符合性狀態、啟用或停用,或具有參數更新時,都可能會發生更新。如果您僅將 AWS Config 設定記錄程式用於 Security Hub,而且不會將此設定項目用於其他用途,建議您在 AWS Config 主控台或關閉其記錄 AWS CLI。這可以降低您的 AWS Config 成本。您不需要記錄AWS::Config::ResourceCompliance安全檢查即可在安全中心中工作。