本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨標準配置控制
AWS Security Hub 產生已啟用控制項的搜尋結果,並在計算安全性分數時考慮所有已啟用的控 您可以選擇在所有安全標準中啟用和停用控制項,或在不同標準中以不同的方式設定啟用狀態。我們建議您使用前一個選項,其中控制項的啟用狀態會與所有已啟用的標準保持一致。本節說明如何跨標準啟用和停用控制項。若要啟用或停用一個或多個特定標準中的控制項,請參閱在特定標準中配置控制項。
如果您已設定彙總區域,Security Hub 主控台會顯示來自所有連結區域的控制項。如果控制項可在連結的區域中使用,但在彙總區域中無法使用,則無法從彙總區域啟用或停用該控制項。
啟用和停用控制項的指示會根據您是否使用中央規劃而有所不同。本節說明差異。集中配置適用於整合 Security Hub 和 AWS Organizations。 我們建議您使用中央組態來簡化在多帳戶、多區域環境中啟用和停用控制項的程序。
啟用控制項
當您在標準中啟用控制項時,Security Hub 會開始執行控制項的安全性檢查,並產生控制項發現項目。
Security Hub 會在整體安全分數和標準安全分數的計算中包含控制項狀態。如果您開啟合併的控制項發現項目,即使您已在多個標準中啟用控制項,也會收到用於安全性檢查的單一發現項目。如需了解更多資訊,請參閱合併的控制調查結果。
在多個帳戶和區域中實現所有標準的控制
若要啟用多個帳戶的安全控制,以及 AWS 區域,您必須使用中央規劃。
當您使用中央組態時,委派的系統管理員可以建立 Security Hub 組態原則,在已啟用的標準中啟用指定的控制項。然後,您可以將配置策略與特定帳戶和組織單位 (OUs) 或根建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。
組態原則提供自訂功能。例如,您可以選擇在一個 OU 中啟用所有控制項,也可以選擇在另一個 OU 中僅啟用 Amazon 彈性運算雲端 (EC2) 控制項。資料粒度等級取決於您組織中安全性涵蓋範圍的預期目標。如需建立可跨標準啟用指定控制項之組態原則的指示,請參閱建立和關聯組態原則。
如果您希望某些帳戶設定自己的控制項,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定控制項。
在單一帳戶和區域中啟用所有標準的控制
如果您不使用中央設定或是自我管理帳戶,則無法使用設定原則在多個帳戶和區域中集中啟用控制項。但是,您可以使用下列步驟在單一帳戶和區域中啟用控制項。
- Security Hub console
-
- Security Hub API
-
在一個帳戶和區域中啟用跨標準的控制
-
調用 ListStandardsControlAssociationsAPI。提供安全控制 ID。
請求示例:
{
"SecurityControlId": "IAM.1"
}
-
調用 BatchUpdateStandardsControlAssociationsAPI。提供未在中啟用控制項的任何標準的 Amazon 資源名稱 (ARN)。若要取得標準ARNs,請執行DescribeStandards。
-
將AssociationStatus參數設定為等於ENABLED。如果您遵循下列步驟來取得已啟用的控制項,則會API傳回HTTP狀態碼 200 回應。
請求示例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
-
在要啟用控制項的每個「區域」中重複此動作。
- AWS CLI
-
在一個帳戶和區域中啟用跨標準的控制
-
執行 list-standards-control-associations指令。提供安全控制 ID。
aws securityhub --region us-east-1list-standards-control-associations --security-control-id CloudTrail.1
-
執行 batch-update-standards-control-associations指令。提供未在中啟用控制項的任何標準的 Amazon 資源名稱 (ARN)。若要取得標準ARNs,請執行describe-standards指令。
-
將AssociationStatus參數設定為等於ENABLED。如果您依照下列步驟執行已啟用的控制項,則命令會傳回HTTP狀態碼 200 回應。
aws securityhub --region us-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
-
在要啟用控制項的每個「區域」中重複此動作。
在啟用的標準中自動啟用新控制項
Security Hub 定期發布新的安全控制,並將其添加到一個或多個標準。您可以選擇是否在啟用的標準中自動啟用新控制項。
我們建議使用中央配置來自動啟用新的控制項。如果您的組態原則包含要停用的控制項清單 (以程式設計方式反映DisabledSecurityControlIdentifiers參數),Security Hub 會自動啟用跨標準的所有其他控制項,包括新發行的控制項。如果您的原則包含要啟用的控制項清單 (這反映EnabledSecurityControlIdentifiers參數),Security Hub 會自動停用跨標準的所有其他控制項,包括新發行的控制項。如需詳細資訊,請參閱安全中心中的組態原則如何運作。
選擇您偏好的存取方式,並依照步驟在已啟用的標準中自動啟用新的控制項。下列指示只適用於未使用中央設定。
- Security Hub console
-
- Security Hub API
-
- AWS CLI
-
自動啟用新控制項
-
執行 update-security-hub-configuration指令。
-
若要自動啟用已啟用標準的新控制項,請指定--auto-enable-controls。如果您不想自動啟用新的控制項,請指定--no-auto-enable-controls。
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
範例命令
aws securityhub update-security-hub-configuration --auto-enable-controls
停用控制項
當您停用所有標準中的控制項時,會發生下列情況:
您可以在一個或多個特定標準中禁用它,而不是禁用所有標準中的控制項。如果您這麼做,Security Hub 不會針對您停用控制項的標準執行安全性檢查,因此不會影響這些標準的安全性分數。但是,Security Hub 保留 AWS Config 規則並繼續對控制項執行安全性檢查 (如果已在其他標準中啟用)。這可能會影響您的摘要安全分數。如需在特定標準中規劃控制項的指示,請參閱在特定標準中配置控制項。
若要減少發現雜訊,停用與您的環境無關的控制項會很有用。如需要停用哪些控制項的建議,請參閱您可能要停用的 Security Hub 控制項。
停用標準時,會停用套用至標準的所有控制項 (不過,這些控制項可能會在其他標準中保持啟用狀態)。若要取得有關停用標準的資訊,請參閱在安全中心中設定標準。
當您停用標準時,Security Hub 不會追蹤哪些適用的控制項已停用。如果您隨後重新啟用相同的標準,套用至該標準的所有控制項都會自動啟用。此外,停用控制項不是永久動作。假設您停用控制項,然後啟用先前已停用的標準。如果標準包含該控制項,則會在該標準中啟用該控制項。當您在 Security Hub 中啟用標準時,會自動啟用適用於該標準的所有控制項。您可以選擇停用特定控制項。
在多個帳戶和區域中停用所有標準的控制項
若要停用多個帳戶的安全性控制,以及 AWS 區域,您必須使用中央規劃。
當您使用中央組態時,委派的系統管理員可以建立 Security Hub 組態原則,在已啟用的標準中停用指定的控制項。然後,您可以將組態策略與特定帳OUs號或根帳號相關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。
組態原則提供自訂功能。例如,您可以選擇全部停用 AWS CloudTrail 一個 OU 中的控制項,您可以選擇停用另一個 OU 中的所有IAM控制項。資料粒度等級取決於您組織中安全性涵蓋範圍的預期目標。如需建立可跨標準停用指定控制項之組態原則的指示,請參閱建立和關聯組態原則。
如果您希望某些帳戶設定自己的控制項,而不是委派管理員,委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定控制項。
在單一帳戶和區域中停用所有標準中的控制項
如果您不使用中央設定或是自我管理帳戶,則無法使用設定原則集中停用多個帳戶和區域中的控制項。但是,您可以使用下列步驟來停用單一帳戶和區域中的控制項。
- Security Hub console
-
- Security Hub API
-
在一個帳戶和區域中停用跨標準的控制
-
調用 ListStandardsControlAssociationsAPI。提供安全控制 ID。
請求示例:
{
"SecurityControlId": "IAM.1"
}
-
調用 BatchUpdateStandardsControlAssociationsAPI。提供在ARN中啟用控制項的任何標準。若要取得標準ARNs,請執行DescribeStandards。
-
將AssociationStatus參數設定為等於DISABLED。如果您依照下列步驟執行已停用的控制項,則會API傳回HTTP狀態碼 200 回應。
請求示例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
-
在要禁用控件的每個區域中重複此操作。
- AWS CLI
-
在一個帳戶和區域中停用跨標準的控制
-
執行 list-standards-control-associations指令。提供安全控制 ID。
aws securityhub --region us-east-1CloudTrail.1
-
執行 batch-update-standards-control-associations指令。提供在ARN中啟用控制項的任何標準。若要取得標準ARNs,請執行describe-standards指令。
-
將AssociationStatus參數設定為等於DISABLED。如果您依照下列步驟執行已停用的控制項,則命令會傳回HTTP狀態碼 200 回應。
aws securityhub --region us-east-1'[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
-
在要禁用控件的每個區域中重複此操作。
