本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用和停用安全性標準
您可以啟用或停用資訊安全中心中提供的每個安全性標準。
啟用任何安全性標準之前,請確定您已啟用 AWS Config 並設定資源記錄。否則,Security Hub 可能無法針對套用至標準的控制項產生發現項目。如需詳細資訊,請參閱 配置 AWS Config。
注意
啟用和停用標準的指示會根據您是否使用中央規劃而有所不同。本節說明差異。集中設定可供整合 Security Hub 和的使用者使用 AWS Organizations。我們建議您使用中央組態來簡化在多帳戶、多區域環境中啟用和停用標準的程序。
啟用安全性標準
當您啟用安全性標準時,會在其中自動啟用套用至該標準的所有控制項。Security Hub 也會開始針對套用至標準的控制項產生發現項目。
您可以選擇在每個標準中啟用和停用哪些控制項。停用控制項會停止產生控制項的發現項目,而在計算安全分數時會忽略控制項。
當您啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台上的 [摘要] 頁面或 [安全性標準] 頁面後的 30 分鐘內,計算標準的初始安全分數。在中國和地區產生首次安全分數可能需要長達 24 小時的時間 AWS GovCloud (US) Region。只有在您造訪這些頁面時啟用的標準,才會產生分數。此外,必須配置 AWS Config 資源記錄才能顯示分數。在第一次產生分數之後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,以指出上次更新安全分數的時間。若要檢視您帳戶中目前已啟用的標準清單,請呼叫GetEnabledStandardsAPI。
跨多個帳戶和區域啟用標準
若要跨多個帳戶啟用安全性標準 AWS 區域,您必須使用中央設定。
當您使用中央組態時,委派的系統管理員可以建立啟用一或多個標準的 Security Hub 組態原則。然後,您可以將配置策略與特定帳戶和組織單位 (OUs) 或根建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。
組態原則提供自訂功能。例如,您可以選擇在一個 OU 中僅啟用基 AWS 礎安全性最佳作法 (FSBP),並且可以選擇在另一個 OU 中啟用FSBP和網際網路安全中心 (CIS) AWS 基礎 Benchmark v1.4.0。如需建立啟用指定標準之組態原則的指示,請參閱 建立和關聯安全性中樞組態原則
如果您使用中央設定,Security Hub 不會自動在新帳戶或現有帳戶中啟用任何標準。而是在建立組態原則時,委派的管理員會定義要在不同帳戶中啟用哪些標準。Security Hub 提供建議的組態原則,其中FSBP僅啟用。如需詳細資訊,請參閱 組態原則的類型。
注意
委派的系統管理員可以建立組態原則,以啟用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中啟用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。
如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。
在單一帳戶和區域中啟用標準
如果您不使用中央設定,或者您是自我管理帳戶,則無法使用設定原則來集中啟用多個帳戶和區域的標準。但是,您可以使用下列步驟在單一帳戶和區域中啟用標準。
自動啟用預設安全性標準
如果您不使用中央設定,Security Hub 會在新帳戶加入您的組織時,自動啟用預設安全性標準。屬於預設標準一部分的所有控制項也會自動啟用。目前,自動啟用的預設安全性標準為基 AWS 礎安全性最佳做法 (FSBP) 和網際網路安全中心 (CIS) AWS 基準基準 v1.2.0。如果您偏好在新帳戶中手動啟用標準,可以關閉自動啟用的標準。
如果您使用中央組態,您可以建立啟用預設標準的組態原則,並將此原則與根建立關聯。您的所有組織帳號,並OUs將繼承此組態策略,除非它們與不同的策略相關聯或是自我管理。
關閉自動啟用的標準
下列步驟僅適用於與整合, AWS Organizations 但不使用中央設定時。如果您未使用 [Organizations] 整合,可以在第一次啟用 Security Hub 時關閉預設標準,或者您也可以遵循停用標準的步驟。
停用安全性標準
當您停用安全性中心中的安全性標準時,會發生下列情況:
-
套用至標準的所有控制項也會停用,除非它們與其他標準相關聯。
-
不再執行停用控制項的檢查,且不會針對停用的控制項產生其他發現項目。
-
停用控制項的現有發現項目會在大約 3-5 天後自動封存。
-
Security Hub 為停用的控制項建立的 AWS Config 規則會遭到移除。
這通常會在停用標準後的幾分鐘內發生,但可能需要更長的時間。如果第一個刪除規則的要求失敗, AWS Config 則 Security Hub 會每 12 小時重試一次。不過,如果您停用 Security Hub 或您沒有啟用任何其他標準,則 Security Hub 無法重試要求,這表示它無法刪除 AWS Config 規則。如果發生這種情況,並且您需要刪除 AWS Config 規則,請聯繫 AWS Support。
停用跨多個帳戶和區域的標準
若要停用跨多個帳戶和區域的安全性標準,您必須使用中央設定。
當您使用中央組態時,委派的管理員可以建立停用一或多個標準的組態原則。您可以將組態策略與特定帳號和/OUs或根帳號建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。
組態原則提供自訂功能。例如,您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCIDSS),也可以選擇在另一個 OU 中同PCIDSS時停用國家標準與技術研究所 (NIST) SP 800-53 Rev. 5。如需建立停用指定標準之組態原則的指示,請參閱建立和關聯安全性中樞組態原則。
注意
委派的系統管理員可以建立組態原則,以停用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中停用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。
如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。
在單一帳戶和區域中停用標準
如果您不使用中央設定或是自我管理帳戶,則無法使用設定原則集中停用多個帳戶和區域中的標準。但是,您可以使用下列步驟來停用單一帳戶和區域中的標準。