啟用和設定 AWS Config Security Hub - AWS Security Hub
啟用和設定 之前的考量事項 AWS Config在 中記錄資源 AWS Config啟用和設定的方法 AWS ConfigConfig.1 控制項產生服務連結規則成本考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和設定 AWS Config Security Hub

AWS Security Hub 使用 AWS Config 規則來執行安全檢查並產生大多數控制項的調查結果。 AWS Config 提供 中 AWS 資源組態的詳細檢視 AWS 帳戶。它使用規則來為您的資源和組態記錄器建立基準組態,以偵測特定資源是否違反規則的條件。某些規則稱為 AWS Config 受管規則,是由 預先定義和開發 AWS Config。其他規則是 Security Hub 開發的 AWS Config 自訂規則。

AWS Config Security Hub 用於控制項的規則稱為服務連結規則。服務連結規則允許 AWS 服務 例如 Security Hub 在您的帳戶中建立 AWS Config 規則。

若要在 Security Hub 中接收控制項問題清單,您必須在 AWS Config 帳戶中啟用 ,並開啟已啟用控制項評估的資源記錄。

此頁面說明如何 AWS Config 啟用 Security Hub 並開啟資源錄製。

啟用和設定 之前的考量事項 AWS Config

若要在 Security Hub 中接收控制項問題清單,您的帳戶必須已在 Security Hub AWS Config 啟用的每個 AWS 區域 中啟用。如果您將 Security Hub 用於多帳戶環境, AWS Config 則必須在管理員帳戶和所有成員帳戶中的每個區域中啟用 。

強烈建議您在啟用任何 Security Hub 標準和控制項 AWS Config 之前,先開啟 中的資源記錄。這可協助您確保控制調查結果的準確性。

若要在 中開啟資源記錄 AWS Config,您必須有足夠的許可,才能在連接到組態記錄器的 AWS Identity and Access Management (IAM) 角色中記錄資源。此外,請確定 中沒有IAM政策或政策受管 AWS Organizations , AWS Config 以防止 擁有記錄 資源的許可。Security Hub 控制檢查會直接評估資源的組態,且不考慮 Organizations 政策。如需 AWS Config 錄製的詳細資訊,請參閱《 AWS Config 開發人員指南》中的AWS Config 受管規則清單 – 考量事項

如果您在 Security Hub 中啟用標準,但尚未啟用 AWS Config,Security Hub 會嘗試根據下列排程建立 AWS Config 規則:

  • 在啟用標準當天

  • 啟用標準的隔天

  • 啟用標準後 3 天

  • 啟用標準後 7 天 (之後每 7 天持續一次)

如果您使用中央組態,每次您將啟用一或多個標準與帳戶、組織單位 (OUs) 或根目錄的組態政策建立關聯時,Security Hub 也會嘗試建立 AWS Config 服務連結規則。

在 中記錄資源 AWS Config

啟用時 AWS Config,您必須指定您希望 AWS Config 組態記錄器記錄 AWS 的資源。透過服務連結規則,組態記錄器可讓 Security Hub 偵測資源組態的變更。

為了讓 Security Hub 產生準確的控制調查結果,您必須開啟 中的記錄, AWS Config 以取得對應於已啟用控制項的資源。它主要啟用了需要資源記錄的變更觸發排程類型的控制項。如需控制項及其相關 AWS Config 資源的清單,請參閱Security Hub 控制問題清單的必要 AWS Config 資源

警告

如果您未正確設定 Security Hub 控制項的 AWS Config 錄製,可能會導致不正確的控制問題清單,特別是在下列執行個體中:

  • 您永遠不會記錄特定控制項的資源、在建立該資源類型之前停用資源的錄製,或將IAM角色連接至未提供記錄資源許可的組態記錄器。在這些情況下,您會收到有問題的控制項問題PASSED清單,即使您在停用錄製之後,可能已在控制項範圍內建立資源。此PASSED調查結果是預設調查結果,不會實際評估資源的組態狀態。

  • 您可以停用記錄由特定控制項評估的資源。在此情況下,即使控制項未評估新的或更新的資源,Security Hub 仍會保留停用錄製之前產生的控制項調查結果。這些保留的調查結果可能無法準確反映資源的目前組態狀態。

根據預設, 會 AWS Config 記錄它在執行所在的 中 AWS 區域 探索的所有支援的區域資源。若要接收所有 Security Hub 控制調查結果,您還必須設定 AWS Config 來記錄全域資源。為了節省成本,我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總,則此區域應該是您的主區域。

在 中 AWS Config,您可以選擇持續記錄每日記錄資源狀態的變更。如果您選擇每日錄製,則如果資源狀態變更, 會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更,則不會傳送任何資料。這可能會延遲產生由變更觸發之控制項的 Security Hub 調查結果,直到 24 小時期間完成為止。

如需 AWS Config 錄製的詳細資訊,請參閱《 AWS Config 開發人員指南》中的錄製 AWS 資源

啟用和設定的方法 AWS Config

您可以透過下列其中一種方式啟用 AWS Config 和開啟資源記錄:

  • AWS Config 主控台 – 您可以使用 AWS Config 主控台 AWS Config 為 帳戶啟用 。如需說明,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用 主控台設定

  • AWS CLI 或 SDKs – 您可以使用 AWS Command Line Interface () AWS Config 為 帳戶啟用AWS CLI。如需說明,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用 設定 AWS CLI 。 AWS 軟體開發套件 (SDKs) 也適用於許多程式設計語言。

  • CloudFormation 範本 – 如果您想要 AWS Config 為大量帳戶啟用 ,建議您使用名為啟用 AWS Config的 AWS CloudFormation 範本。若要存取此範本,請參閱 AWS CloudFormation 使用者指南中的AWS CloudFormation StackSets 範本範例

    根據預設,此範本會排除IAM全域資源的錄製。請確定您只開啟一個區域中IAM全域資源的錄製,以節省錄製成本。如果您已啟用跨區域彙總,這應該是您的 Security Hub 主區域。否則, AWS 區域 Security Hub 可在 中使用,以支援記錄IAM全域資源。我們建議您執行一個 StackSet ,以記錄主要區域或其他所選區域中的所有資源,包括IAM全域資源。然後,執行一秒鐘 StackSet 來記錄除其他區域中的IAM全域資源以外的所有資源。

  • Github 指令碼 – Security Hub 提供GitHub 指令碼,可啟用 Security Hub AWS Config 和跨區域的多個帳戶。如果您尚未與 Organizations 整合,或者您有不屬於組織的某些成員帳戶,則此指令碼很有用。

如需詳細資訊,請參閱 Optimize AWS Config for AWS Security Hub 以有效管理您的雲端安全狀態

Config.1 控制項

如果 AWS Config 停用,或如果您未開啟已啟用控制項的資源記錄,Security Hub 控制 Config.1 會在您的帳戶中產生FAILED問題清單。如果您是組織的委派 Security Hub 管理員,則必須在您的帳戶和成員帳戶中正確設定 AWS Config 記錄。如果您使用跨區域彙總,則必須在主要區域和所有連結區域中正確設定 AWS Config 記錄 (連結區域中不需要記錄全域資源)。

若要接收 Config.1 的PASSED調查結果,請開啟對應至已啟用 Security Hub 控制項之所有資源的資源記錄,並停用組織中不需要的控制項。這有助於確保您在安全控制檢查中沒有組態差距,並收到有關設定錯誤資源的準確調查結果。

產生服務連結規則

對於使用 AWS Config 服務連結規則的每個控制項,Security Hub 會在您的 AWS 環境中建立所需規則的執行個體。

這些服務連結規則專屬於 Security Hub。即使相同規則的其他執行個體已存在,Security Hub 也會建立這些服務連結規則。服務連結規則會在原始規則名稱securityhub之前新增,並在規則名稱之後新增唯一識別符。例如,對於 AWS Config 受管規則 vpc-flow-logs-enabled,服務連結規則名稱會像 一樣securityhub-vpc-flow-logs-enabled-12345

可用於評估控制項的 AWS Config 受管規則數量有所限制。Security Hub 建立的自訂 AWS Config 規則不會計入該限制。即使您已達到帳戶中受管規則 AWS Config 的限制,也可以啟用安全標準。若要進一步了解 AWS Config 規則限制,請參閱《 AWS Config 開發人員指南》中的 的服務限制 AWS Config

成本考量

Security Hub 可以透過更新 AWS Config 組態項目來影響您的AWS::Config::ResourceCompliance組態記錄器成本。每次與 AWS Config 規則相關聯的 Security Hub 控制項變更合規狀態、啟用或停用,或具有參數更新時,都可能發生更新。如果您只針對 Security Hub 使用 AWS Config 組態記錄器,而且不將此組態項目用於其他用途,建議您關閉錄製 AWS Config。這可以降低您的 AWS Config 成本。您不需要記錄安全檢查AWS::Config::ResourceCompliance,即可在 Security Hub 中運作。

如需與資源記錄相關的成本資訊,請參閱AWS Security Hub 定價AWS Config 定價