AWS Security Hub 新的中央配置能力介绍

作者: Nicholas Jaeger 和 Gal Ordo，发布日期: 2023年11月27日

关键要点

• AWS Security Hub 引入了新的中央配置功能，简化了控制和策略配置的管理。
• 用户可以通过一个区域统一管理和查看所有安全配置，便于扩展和控制合规性。
• 新的功能允许设置策略，适用于整个组织、特定账户或组织单元 (OU)，自动应用于链接的区域。

随着云环境及其相关安全风险的复杂性不断增加，了解您的云安全态势变得至关重要，从而能够快速高效地弥补安全漏洞。 提供近300项自动化控制，持续检查您的云资源配置是否符合 Amazon Web Services (AWS) 安全专家识别的最佳实践和行业标准。此外，您可以通过单一操作在整个组织中启用 Security Hub的默认设置，从而在规模上管理云安全态势，并将各个组织账户与区域的发现结果聚合到您选择的单个账户和区域。

借助 Security Hub新的中央配置功能，控制和政策的设置与管理得以简化和集中，您可以使用已聚合发现结果的账户来进行初始化。在这篇博客文章中，我们将解释新功能的好处，并描述如何快速加入使用。

中央配置概述

有了 Security Hub 的新中央配置功能，您现在可以使用您的 账户（即用于管理组织内 Security Hub 的 AWS Organizations 账户）集中管理 Security Hub 的控制和标准，并从一个位置查看整个组织的 Security Hub配置。为了方便这一功能，中央配置允许您设置策略，以指定是否应启用 SecurityHub、以及应打开哪些标准和控制。然后，您可以选择将策略与整个组织或特定账户或

关联，并使政策适用于链接的所有区域。应用于特定 OU（或整个组织）的策略将被子账户继承。这不仅适用于现有账户，也适用于在您创建策略后新增到这些 OU（或整个组织）的新账户。此外，当您向 Security Hub添加新的链接区域时，您现有的策略将立即适用于该区域。这使您不再需要手动维护需要应用自定义配置的账户和区域列表；相反，您可以维护几条针对组织的政策，每条政策与组织中不同账户关联。因此，通过利用中央配置功能，您可以显著减少配置 Security Hub 所需的时间，将注意力转向改进其发现结果。

在应用策略后，Security Hub 还为您提供了组织视图，显示每个 OU和账户的策略状态，同时防止配置漂移。这意味着在使用中央配置设置组织后，账户拥有者将无法偏离您选择的设置——您的策略将作为组织配置的真实来源，帮助您了解 Security Hub 如何为您的组织配置。

使用新的中央配置功能现在是推荐的方法，以在您的 AWS Organizations 结构中对部分或全部 AWS 账户进行 Security Hub 的配置。

先决条件

要开始使用中央配置，您需要完成三个先决条件：

1. 在您计划启用 Security Hub 的账户和区域中启用 。(有关如何优化 AWS Config 配置以便于 Security Hub 使用的更多信息，请参见 .)
2. 在您计划使用 Security Hub 的至少一个区域内，在您的 管理账户中启用 Security Hub。
3. 使用您的组织管理账户委派一个管理员账户来管理 Security Hub。

如果您是 Security Hub 的新用户，只需从组织管理账户访问 AWS ManagementConsole，系统将指导您完成上述后两项先决条件。如果您已经在使用 Security Hub，这些可以从 Security Hub 的 设置 页面进行配置。在这两种情况下，完成这三个先决条件后，您可以从您设置为 DA 的账户进行中央配置设置。

推荐设置

要开始设置，请从您的 AWS Organizations 管理账户或 Security Hub 委派管理员账户打开 Security Hub控制台。在左侧导航菜单中，选择 配置 ，打开新的配置页面，如图 1 所示。选择 开始中央配置 。

![图 1: 删除)

如果您使用 AWS Organizations 管理账户登录 Security Hub，您将进入第一步 指定委派管理员 ，在这里您可以指定新的委派管理员或确认您已有的选择。如果您使用现有的委派管理员账户登录 Security Hub，您将直接进入第二步 集中组织 ，如图 2 所示。在第二步中，首先要求您选择您的主区域，即您将用于创建配置策略的 AWS 区域。默认情况下，当前区域被选为您的主区域，除非您已使用 ，在这种情况下，您的现有聚合区域将预选为主区域。

然后您将被提示选择链接的区域，即您将通过中央配置进行配置的区域。已经作为您跨区域聚合设置的一部分链接的区域将被预选。您也可以添加其他区域或选择包括所有 AWS 区域，包括未来区域。如果您的选择包括需参与的区域，请注意，Security Hub 在这些区域中不会启用，直到您直接启用这些区域。

![图 2: 删除)

第三步 配置组织 显示在图 3 中。您将看到一个建议，建议您在整个组织中使用 AWS 推荐的 Security Hub 配置策略 (SHCP)。这包括启用 AWS 基础安全最佳实践 (FSBP) v1.0.0 标准和在 AWS Organizations 结构中的账户中启用新的和现有的 FSBP 控制。这是对大多数客户的推荐配置，因为 AWS FSBP 是 AWS 安全专家精心策划的，代表了客户需要构建的可信安全实践。

另外，如果您已经在 Security Hub 中有自定义配置并希望将其导入到新功能中，请选择 自定义我的 Security Hub 配置 ，然后选择 预填充配置 。

![图 3: 第三步 - 删除)

第四步 审查和应用 是您检查刚刚创建的策略的地方。在您完成此步骤之前，组织的配置将不会更改。该步骤将覆盖先前账户配置并创建和应用新的策略。完成后，您将被带到新的 配置 页面（之前在图 1 中展示）。用户界面将更新为包括三个选项卡：组织 、策略 和 邀请账户 ，您可以在这些选项卡中做以下操作：

• 在 组织 选项卡中，这部分作为您在 Security Hub 中的组织配置的单一视图，您可以查看每个账户和 OU 的策略状态，并验证您所期望的配置是否生效。
• 在 策略 选项卡中，您可以查看您的策略、更新它们和创建新策略。
• 在 邀请账户 选项卡中，您可以查看和更新邀请账户的发现，这些账户不属于您的 AWS Organizations 结构。这些账户不能使用新的中央配置功能进行配置。

这些选项卡一起构成了您在 Security Hub中的组织配置的单一视图。为此，您现在看到的组织图显示了哪些账户已经受到了您刚创建的策略的影响，以及哪些账户仍在待处理状态。通常，一个账户在您创建新的策略或更新现有策略后只会在几分钟内显示为待处理状态。然而，一个账户最多可以保持待处理状态24小时。在这段时间内，SecurityHub 将尝试根据您所选择的策略设置配置该账户。

如果 Security Hub 判断政策无法成功传播到某个账户，则将显示其状态为失败（见图 4）。这通常发生在您在出现故障的账户中未完成先决条件的情况下。例如，如果在某个账户中 AWS Config尚未启用，则该策略将标记为失败。当您将鼠标悬停在“失败”一词上时，Security Hub将显示一条错误消息，提供有关该问题的详细信息。在您解决错误后，可以通过选择故障账户并点击 重新应用策略 按钮来尝试再次应用该策略。

![图 4: 删除)

中央配置入驻的灵活性

如前所述，中央配置使您能够更加轻松地集中管理 Security Hub及其控制和标准。这一功能还允许您选择特定账户来应用您选择的设置。尽管我们建议利用中央配置来配置所有账户，但该功能的一大优势是您可以初步创建测试配置，然后在整个组织中应用它。这在您已使用先前可用的方法配置 Security Hub 时尤其有用，您可能希望检查自己是否成功导入了现有配置。

当您进入中央配置时，组织中的账户默认是自我管理的，这意味着它们仍然保持之前的配置，直到您对它们、其父 OU或整个组织应用政策。这给您留出选项，在入驻时创建测试策略，仅将其应用到测试账户或 OU，检查是否实现了期望的结果，然后再将其应用到组织中的其他账户。

根据 OU 配置和部署不同的策略

尽管我们建议您在可能的情况下使用 Security Hub推荐的政策，但每位客户的环境不同，可能需要一些自定义。中央配置不要求您使用推荐的政策，您可以创建自己的自定义政策，以指定如何在组织账户和区域中使用 Security Hub。您可以为整个组织创建一项配置策略，或创建多项策略来定制不同账户中的 Security Hub 设置。

此外，您可能需要为每个 OU 实施不同的策略。例如，当您有一个财务账户或 OU，希望使用支付卡行业数据安全标准 (PCI DSS) v3.2.1时，可能需要这样做。在这种情况下，您可以去 策略 选项卡，选择 创建策略 ，指定您想要的配置，然后将其应用于那些特定的 OU 或账户，如图 5 所示。请注意，每个策略必须是完整的，即必须包含您希望应用于所选账户或 OU 的全部配置设置。特别是，一个账户不能从一个和其父 OU关联的政策继承一部分设置，另一部分再继承自自己的政策。这样的规定优点在于，每项政策作为其所应用账户配置的真实来源。有关这种行为或如何创建新策略的更多信息，请参见 。

![图 5: 创建具有 FSBP 和 PCI DSS删除)

您可能会发现有必要将账户排除在外，禁止其进行中央配置。您可以选择将一个账户或 OU 设置为 。这样，只有账户拥有者可以配置该账户的设置。如果您的组织有团队需要能够自行设置安全覆盖范围，则此设置非常有用。除非您将自我管理账户与您的 Security Hub组织脱离，否则您仍会看到来自自我管理账户的发现，这使您获得组织范围内的安全态势可见性。然而，您将无法查看这些账户的配置，因为它们不受中央管理。

理解和管理控制的应用位置

除了能够集中创建和查看您的政策，您还可以使用控制详细信息页面定义、审核和应用如何在控制层面配置政策。要访问控制详细信息页面，请在 Security Hub左侧导航菜单中选择 控制 ，然后选择任何单独的控制。

控制详细信息页面允许您查看已启用该控制的账户中的发现。如果您决定这些发现与特定账户和 OU 无关，或者希望在当前未启用此控制的其他账户中使用，您可以选择 配置 ，查看现在适用该控制的政策，并根据图 6 所示相应更新配置。

![图 6: 删除)

组织可见性

您可能已经注意到在 组织 视图的早期截图中（图 4），新的中央配置能力为您提供了对应用政策（并进一步延伸到部署的控制和标准）到每个账户和 OU的新视图。如果您需要自定义该配置，您可以修改现有策略或创建新的策略，以快速应用于所有或部分账户。您还可以一目了然地查看有哪些账户是自我管理的或没有开启 Security Hub。

结论

Security Hub 的中央配置帮助您无缝配置 Security Hub 及其控制和标准，确保您组织内的账户具备所需的安全控制覆盖水平。AWS建议您在跨组织账户和区域配置、部署和管理 Security Hub 中的控制时使用此功能。中央配置现已在所有商业 AWS 区域可用。 访问 Security Hub 中的新配置页面（通过 DA 账户）。即使您使用中央配置，您也可以享受 Security Hub30天的免费试用，试用优惠会自动适用于未使用 Security Hub 的组织账户。

如果您对此帖文有反馈，请在评论 部分提交意见。如果您对这篇文章有疑问，请 。

想要获取更多 AWS 安全新闻吗？在 关注我们。

Nicholas Jaeger

Nicholas 是 AWS 的首席安全解决方案架构师。他的背景包括软件工程、教学、解决方案架构和 AWS 安全。如今，他专注于帮助公司和组织在 AWS上安全地运作。Nicholas 还主办 AWS 安全激活日，为客户提供使用 AWS 安全服务的具体指导，以提高可见性和降低风险。

Gal Ordo

Gal 是 AWS Security Hub的高级产品经理。他在网络和云安全方面拥有十多年经验，专注于物联网、安全和云安全。他热衷于确保客户能够在不妥协安全性的情况下继续扩展和发展他们的环境。工作之外，Gal喜欢视频游戏、阅读和探索新地方。

标签: 、、