啟用和停用安全性標準 - AWS Security Hub
啟用安全性標準停用安全性標準

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和停用安全性標準

您可以啟用或停用資訊安全中心中提供的每個安全性標準。

啟用任何安全性標準之前,請確定您已啟用 AWS Config 並設定資源記錄。否則,Security Hub 可能無法針對套用至標準的控制項產生發現項目。如需詳細資訊,請參閱 配置 AWS Config

注意

啟用和停用標準的指示會根據您是否使用中央規劃而有所不同。本節說明差異。集中設定可供整合 Security Hub 和的使用者使用 AWS Organizations。我們建議您使用中央組態來簡化在多帳戶、多區域環境中啟用和停用標準的程序。

啟用安全性標準

當您啟用安全性標準時,會在其中自動啟用套用至該標準的所有控制項。Security Hub 也會開始針對套用至標準的控制項產生發現項目。

您可以選擇在每個標準中啟用和停用哪些控制項。停用控制項會停止產生控制項的發現項目,而在計算安全分數時會忽略控制項。

當您啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台上的 [摘要] 頁面或 [安全性標準] 頁面後的 30 分鐘內,計算標準的初始安全分數。在中國和地區產生首次安全分數可能需要長達 24 小時的時間 AWS GovCloud (US) Region。只有在您造訪這些頁面時啟用的標準,才會產生分數。此外,必須配置 AWS Config 資源記錄才能顯示分數。在第一次產生分數之後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,以指出上次更新安全分數的時間。若要檢視您帳戶中目前已啟用的標準清單,請呼叫GetEnabledStandardsAPI。

跨多個帳戶和區域啟用標準

若要跨多個帳戶啟用安全性標準 AWS 區域,您必須使用中央設定

當您使用中央組態時,委派的系統管理員可以建立啟用一或多個標準的 Security Hub 組態原則。然後,您可以將配置策略與特定帳戶和組織單位 (OUs) 或根建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。

組態原則提供自訂功能。例如,您可以選擇在一個 OU 中僅啟用基 AWS 礎安全性最佳作法 (FSBP),並且可以選擇在另一個 OU 中啟用FSBP和網際網路安全中心 (CIS) AWS 基礎 Benchmark v1.4.0。如需建立啟用指定標準之組態原則的指示,請參閱 建立和關聯安全性中樞組態原則

如果您使用中央設定,Security Hub 不會自動在新帳戶或現有帳戶中啟用任何標準。而是在建立組態原則時,委派的管理員會定義要在不同帳戶中啟用哪些標準。Security Hub 提供建議的組態原則,其中FSBP僅啟用。如需詳細資訊,請參閱 組態原則的類型

注意

委派的系統管理員可以建立組態原則,以啟用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中啟用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。

如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。

在單一帳戶和區域中啟用標準

如果您不使用中央設定,或者您是自我管理帳戶,則無法使用設定原則來集中啟用多個帳戶和區域的標準。但是,您可以使用下列步驟在單一帳戶和區域中啟用標準。

Security Hub console
在一個帳戶和區域中啟用標準

  1. 在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 確認您在要啟用標準的區域中使用安全性中樞。

  3. 在 [安全中心] 瀏覽窗格中,選擇 [安全性標準]。

  4. 針對您要啟用的標準,選擇 Enable (啟用)。這也會啟用該標準內的所有控制項。

  5. 在您要在其中啟用標準的每個區域中重複此步驟。

Security Hub API
在一個帳戶和區域中啟用標準

  1. 叫用 BatchEnableStandardsAPI.

  2. 提供您要啟用之標準的 Amazon 資源名稱 (ARN)。若要取得標準ARN,請呼叫 DescribeStandardsAPI.

  3. 在您要在其中啟用標準的每個區域中重複此步驟。

AWS CLI
在一個帳戶和區域中啟用標準

  1. 執行 batch-enable-standards 命令。

  2. 提供您要啟用之標準的 Amazon 資源名稱 (ARN)。若要取得標準ARN,請執行describe-standards指令。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    範例

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 在您要在其中啟用標準的每個區域中重複此步驟。

自動啟用預設安全性標準

如果您不使用中央設定,Security Hub 會在新帳戶加入您的組織時,自動啟用預設安全性標準。屬於預設標準一部分的所有控制項也會自動啟用。目前,自動啟用的預設安全性標準為基 AWS 礎安全性最佳做法 (FSBP) 和網際網路安全中心 (CIS) AWS 基準基準 v1.2.0。如果您偏好在新帳戶中手動啟用標準,可以關閉自動啟用的標準。

如果您使用中央組態,您可以建立啟用預設標準的組態原則,並將此原則與根建立關聯。您的所有組織帳號,並OUs將繼承此組態策略,除非它們與不同的策略相關聯或是自我管理。

關閉自動啟用的標準

下列步驟僅適用於與整合, AWS Organizations 但不使用中央設定時。如果您未使用 [Organizations] 整合,可以在第一次啟用 Security Hub 時關閉預設標準,或者您也可以遵循停用標準的步驟。

Security Hub console
關閉自動啟用的標準的步驟

  1. 在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

    使用管理員帳戶的憑據登錄。

  2. 在 [Security Hub] 瀏覽窗格的 [設定] 下,選擇 [組態]。

  3. 在「帳戶」區段中,關閉「自動啟用預設標準」。

Security Hub API
關閉自動啟用的標準的步驟

  1. UpdateOrganizationConfigurationAPI從 Security Hub 系統管理員帳戶叫用。

  2. 若要關閉新成員帳戶中自動啟用的標準,請將「AutoEnableStandards等於」設定為NONE

AWS CLI
關閉自動啟用的標準的步驟

  1. 執行 update-organization-configuration 命令。

  2. 包括auto-enable-standards參數以關閉新成員帳戶中自動啟用的標準。

    aws securityhub update-organization-configuration --auto-enable-standards

停用安全性標準

當您停用安全性中心中的安全性標準時,會發生下列情況:

  • 套用至標準的所有控制項也會停用,除非它們與其他標準相關聯。

  • 不再執行停用控制項的檢查,且不會針對停用的控制項產生其他發現項目。

  • 停用控制項的現有發現項目會在大約 3-5 天後自動封存。

  • Security Hub 為停用的控制項建立的 AWS Config 規則會遭到移除。

    這通常會在停用標準後的幾分鐘內發生,但可能需要更長的時間。如果第一個刪除規則的要求失敗, AWS Config 則 Security Hub 會每 12 小時重試一次。不過,如果您停用 Security Hub 或您沒有啟用任何其他標準,則 Security Hub 無法重試要求,這表示它無法刪除 AWS Config 規則。如果發生這種情況,並且您需要刪除 AWS Config 規則,請聯繫 AWS Support。

停用跨多個帳戶和區域的標準

若要停用跨多個帳戶和區域的安全性標準,您必須使用中央設定

當您使用中央組態時,委派的管理員可以建立停用一或多個標準的組態原則。您可以將組態策略與特定帳號和/OUs或根帳號建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。

組態原則提供自訂功能。例如,您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCIDSS),也可以選擇在另一個 OU 中同PCIDSS時停用國家標準與技術研究所 (NIST) SP 800-53 Rev. 5。如需建立停用指定標準之組態原則的指示,請參閱建立和關聯安全性中樞組態原則

注意

委派的系統管理員可以建立組態原則,以停用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中停用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。

如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。

在單一帳戶和區域中停用標準

如果您不使用中央設定或是自我管理帳戶,則無法使用設定原則集中停用多個帳戶和區域中的標準。但是,您可以使用下列步驟來停用單一帳戶和區域中的標準。

Security Hub console
若要在一個帳戶和區域中停用標準

  1. 在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 確認您在要停用標準的區域中使用安全性中樞。

  3. 在 [安全中心] 瀏覽窗格中,選擇 [安全性標準]。

  4. 針對您要停用的標準,選擇 Disable (停用)

  5. 在要禁用標準的每個區域中重複此操作。

Security Hub API
若要在一個帳戶和區域中停用標準

  1. 叫用 BatchDisableStandardsAPI.

  2. 針對您要停用的每個標準,提供標準訂閱ARN。若要取得已啟用標準的訂閱,ARNs請呼叫 GetEnabledStandardsAPI.

  3. 在要禁用標準的每個區域中重複此操作。

AWS CLI
若要在一個帳戶和區域中停用標準

  1. 執行 batch-disable-standards 命令。

  2. 針對您要停用的每個標準,提供標準訂閱ARN。若要取得已啟用標準的訂閱,ARNs請執行get-enabled-standards命令。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    範例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 在要禁用標準的每個區域中重複此操作。