AWS Security Hub 功能

概览

AWS Security Hub 是一项云安全状况管理 (CSPM) 服务,通过对您的 AWS 资源进行自动、持续的安全最佳实践检查来简化安全操作,以帮助您识别错误配置。Security Hub 以标准化格式汇总您的安全警报(即调查发现)并确定其优先级,以便您可以更轻松地对其进行丰富、调查和修复。 

开始使用 Security Hub 只需在 AWS 管理控制台中点击几下,即可开始汇总调查发现并使用我们的 30 天免费试用版进行安全检查。您可以将 Security Hub 与 AWS Organizations 集成,以便在组织中的所有账户中自动启用该服务。

安全性与合规性检查

“AWS 基础安全最佳实践”标准内置于 Security Hub 中。这是一套精心策划的安全最佳实践,由 AWS 安全专家审查,可为您提供基于事件的持续监控或定期运行。每个控件都有特定的严重性等级,可帮助您确定补救工作的优先级别。我们建议在所有账户和 Region(区域)启用此标准,并且我们会通过新的控件和其他服务范围不断对其进行更新。

除了 AWS 基础安全最佳实践标准外,Security Hub 还提供符合行业和监管框架的其他标准,例如支付卡行业数据安全标准(PCI DSS)互联网安全中心(CIS)、AWS 基金会基准以及美国国家标准与技术研究院(NIST)。这些标准还由持续的自动安全检查提供支持,无论安全检查映射到多少标准,您都只需为安全检查支付一次费用。

Security Hub 为每个标准、所有启用标准的每个账户提供简单的 0-100 安全分数,并为与您的管理员账户关联的所有账户提供总分。该分数基于标准、账户或组织的已通过和未通过的控件的数量。

根据组织的特定安全准则自定义 Security Hub 控件,同时仍然享受托管控件的好处。您可以修改许多 Security Hub 控件中的参数值,从而减少在账户中手动构建和测试这些控件的工作量,同时仍然保持它们的安全评分。指定参数,例如资源被视为未使用的天数、密码策略的特定特征或高风险端口列表。您还可以在全球范围内集中管理所有或部分账户的这些配置和功能,而无需逐个账户和逐个区域对其进行更新。

根据您的具体要求自定义您的 Security Hub 控制面板,以更轻松地识别模式、漏洞和威胁,从而实现更快的响应。Security Hub 的控制面板包含一组 AWS 托管的见解,这些见解经过精心挑选,可反映 AWS 观察到的现代云安全威胁形势,并以 AWS 在自身安全运营中吸取的经验教训为指导。您可以选择和修改要显示的小部件,应用和保存筛选条件以根据特定条件创建上下文视图,并根据您的需求确定组织安全状况的数据和视图的优先级。

管理安全警报

指定聚合器区域并关联部分或所有区域,以便您集中查看您的账户和关联区域的调查发现。调查发现会在区域之间持续同步,因此对一个区域的调查发现所做的更新会复制到另一个区域。现在,您在管理员账户和聚合器区域中的 Amazon EventBridge 源还包括您在所有成员账户和关联区域中的所有调查发现,这使您可以通过将这些集成整合到聚合器区域来简化与票务、聊天、事件管理、日志和自动修复工具的集成。

Security Hub 会自动收集和整合您的环境中启用的 AWS 安全服务的调查发现,例如来自 Amazon GuardDuty 的入侵检测结果、来自 Amazon Inspector 的漏洞扫描、来自 Amazon Macie 的 Amazon Simple Storage Service (Amazon S3) 存储桶策略调查发现、来自 IAM Access Analyzer 的可公开访问和跨账户资源,以及 AWS Firewall Manager 缺乏 WAF 覆盖范围的资源。Security Hub 还整合了来自数十个集成式 AWS 合作伙伴网络(APN)安全解决方案的调查发现。所有调查发现将在上次更新之日起 90 天内存储在安全中心中。

通过整合多个标准的控制结果,简化对调查发现的分类、调查和修复的方式,从而更轻松地根据严重性和故障资源数量识别错误配置,并提高总体安全分数。您还可以在一个位置查看所有启用的控件及其合规性状态以及通过和失败的安全检查摘要,并通过单个操作配置所有标准的每个控件。

Security Hub 通过引入 AWS 安全调查发现格式(ASFF)消除了耗时且资源密集型的数据标准化流程。借助 ASFF,Security Hub 集成合作伙伴(包括 AWS 服务和外部合作伙伴)以包含 1,000 多个可用字段的格式正确的 JSON 格式将其调查发现发送到 Security Hub。这意味着您的所有安全调查发现都将在摄取到 Security Hub 之前对其进行标准化,您无需自己进行任何解析和标准化。这些调查发现以一致的方式识别资源、严重性和时间戳,因此您可以更轻松地对其进行搜索并采取行动。

只需在 Security Hub 控制台中单击几下,即可连接多个 AWS 账户并整合这些账户的调查发现。通过指定管理员账户,您可以使您的安全团队能够查看所有账户的综合调查结果,而个人账户所有者只能查看与其账户相关的调查结果。与 AWS Organizations 集成使您能够使用 Security Hub 和 AWS 基础安全防御最佳实践标准自动启用组织中的任何账户。

根据 ASFF 中的字段筛选调查发现,并使用 GroupBy 语句将调查发现汇总到存储桶中。例如,您可以筛选调查发现以仅显示 Critical(危急)或 High(较高)的严重程度,然后按资源 ID 对其进行分组,以查看哪些资源具有最为危急或较高的严重程度。Security Hub 将这些类型称为搜索见解,Security Hub 既提供预打包的托管见解,又使您能够定义自己的自定义见解。每项见解都包含一个时间序列迷你图,以显示与见解相匹配的调查发现随时间推移的趋势。

自动化和响应

使用 Security Hub 自动化规则,可以近乎实时地自动更新或隐藏调查发现。安全管理员可以创建具有特定条件的规则,这些规则可以根据传入的每个调查发现自动进行评估,如果匹配则更新调查发现字段。使用自动化规则更改特定调查发现的严重性或工作流状态、隐藏这些调查发现或更新其用户定义的字段。

使用 Security Hub 与 Amazon EventBridge 的集成,创建自定义的自动响应、修复和丰富工作流。Security Hub 的调查发现会自动发送到 EventBridge,您可以创建以 AWS Lambda 函数、AWS Step Function 函数或 AWS Systems Manager Automation 运行手册为目标的 EventBridge 规则。Security Hub 还支持通过自定义操作按需将调查发现发送到 EventBridge,而 Security Hub 自动响应和修复(ASR)解决方案为您提供了预先打包的 EventBridge 规则,供您通过 AWS Cloud Formation 进行部署。

Security Hub 集成了各种票务、聊天、事件管理、威胁调查、监管、风险与合规 (GRC)、安全编排、自动化和响应 (SOAR) 以及安全信息和事件管理 (SIEM) 工具,这些工具可以自动发送或接收来自 Security Hub 的调查发现。

成本优化

Security Hub 提供 30 天的免费试用体验。试用版包括完整的 Security Hub 功能集以及安全最佳实践检查。每个区域启用 Security Hub 的每个 AWS 账户都将获得免费试用。免费试用版将会为您提供在相同账户和区域中继续使用 Security Hub 时每月的估计账单。另外,Security Hub 还提供永久免费套餐,即每月在每个区域每个账户可摄取 10000 个调查发现。了解有关 Security Hub 定价的更多信息

Security Hub 按三个维度定价:安全检查的数量、摄取的调查发现数量和每月处理的规则评估数量。在 AWS Organizations 的支持下,Security Hub 使您能够连接多个 AWS 账户并整合这些账户的调查发现,从而对整个组织的安全检查、调查发现摄取和自动化规则评估享受分层定价。
Security Hub 将根据预先打包的安全标准自动持续进行最佳实践检查,以评估您的 AWS 账户和资源的安全状况。对于根据在 Security Hub 中可用的不同标准中常见的相同控件进行的检查,您无需为重复检查付费;Security Hub 只会向您收取一次费用。