AWS Security Hub 功能

概觀

AWS Security Hub 是一項雲端安全狀況管理 (CSPM) 服務,可透過對 AWS 資源進行自動而持續的安全最佳實務檢查來簡化安全作業,協助您識別設定錯誤。Security Hub 會以標準化格式彙總您的安全提醒 (即調查結果),並排定其優先順序,以便您更輕鬆地加以擴充、調查和修復。 

開始使用 Security Hub 只需從 AWS 管理主控台按幾下,即可開始使用 30 天免費試用版彙總調查結果並進行安全檢查。您可以將 Security Hub 與 AWS Organizations 整合,以在您組織中的所有帳戶中自動啟用此服務。

安全與合規檢查

Security Hub 內建 AWS 基礎安全最佳實務標準。這是由 AWS 安全專家審核的高度精選的安全最佳實務集,可為您提供以事件為基礎的持續監控或定期執行。每個控制都有特定的嚴重性評分來協助您為修復工作排定優先順序。我們建議跨所有帳戶和區域啟用此標準,且我們將使用新控制和額外的服務覆蓋範圍更新該標準。

除了 AWS Foundational Security 最佳實務標準,Security Hub 也提供其他符合產業和監管架構的標準,例如支付卡產業資料安全標準 (PCI DSS)網際網路安全中心 (CIS) AWS 基準參考指標,以及美國國家標準暨技術研究院 (NIST)。這些標準還由連續、自動化的安全檢查提供支援,您只需為安全檢查支付一次費用,而不論其對應至多少標準。

Security Hub 為每種標準、所有啟用的標準中的每個帳戶提供簡單的 0-100 安全分數,以及與管理員帳戶關聯的所有帳戶的總分。此分數基於標準、帳戶或組織通過與失敗的控制數量。

根據組織的特定安全性準則自訂 Security Hub 控制項,同時無需放棄使用受管理控制項的優勢。您可以修改許多 Security Hub 控制項中的參數值,減少在帳戶中手動建置和測試這些控制項的工作量,同時仍保持其安全評分。指定參數,例如將資源視為未使用的天數、密碼原則的特定特徵或高風險連接埠清單。您也可以針對全域的所有或部分帳戶集中化這些組態和功能,而無需逐個帳戶和區域進行更新。

根據您的特定要求自訂 Security Hub 儀表板,以更輕鬆地識別模式、漏洞和威脅,從而更快地回應。Security Hub 的儀表板包含一組 AWS 託管見解,這些洞見經過精心挑選,以反映 AWS 觀察到的現代雲端安全威脅形勢,並以 AWS 自身安全營運中吸取的經驗教訓為指導。您可以選取並修改您要顯示的小工具,套用並儲存篩選條件以根據特定條件建立內容檢視,然後根據您的需求排定組織安全狀態的資料和檢視的優先順序。

管理安全提醒

指定彙總工具區域並連結部分或所有區域,以便您能集中檢視帳戶和連結區域的調查結果。調查結果會在區域之間持續同步,以便將對一個區域中的調查結果所做的任何更新複寫到另一個區域。您的管理員帳戶和彙總工具區域中的 Amazon EventBridge 摘要現在還包含您在所有成員帳戶和連結區域中的所有調查結果,這可讓您透過將這些整合合併到彙總工具區域,來簡化與票務、聊天、事件管理、日誌記錄和自動修復工具的整合。

Security Hub 會自動收集並合併您環境中啟用的 AWS 安全服務的調查結果,例如 Amazon GuardDuty 中的入侵偵測調查結果、Amazon Inspector 中的漏洞掃描、Amazon Macie 中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策調查結果、IAM Access Analyzer 中可公開存取和跨帳戶的資源,以及 AWS Firewall Manager 中缺少 WAF 涵蓋範圍的資源。Security Hub 還合併來自數十種整合 AWS 合作夥伴網路 (APN) 安全解決方案的調查結果。上次更新日期後,所有調查結果清單都在 Security hub 中儲存 90 天。

透過合併跨多個標準的控制項調查結果,以簡化分類、調查及修正調查結果的方式,藉此根據嚴重性和失敗資源數量更輕鬆地識別錯誤組態,提高整體安全分數。您也可以在一個位置檢視所有已啟用的控制項,以及其合規狀態與通過和失敗的安全檢查摘要,並透過單一動作設定所有標準的每個控制項。

Security Hub 透過倒入 AWS 安全調查結果格式 (ASFF),消除了耗時且耗用大量資源的資料標準化程序。透過 ASFF,Security Hub 整合合作夥伴 (包括 AWS 服務和外部合作夥伴) 以由超過 1,000 個可用欄位組成的類型良好的 JSON 格式,將其調查結果傳送至 Security Hub。這意味著所有安全調查結果在擷取至 Security Hub 之前,都會先標準化,您無需自行執行任何剖析和標準化。調查結果會以一致的方式識別資源、嚴重性和時間戳記,因此,您可以更輕鬆地搜尋並採取相應動作。

只要在 Security Hub 主控台中按幾下滑鼠,即可連接多個 AWS 帳戶並跨這些帳戶合併調查結果。透過指定管理員帳戶,可讓安全團隊查看所有帳戶的調查結果,而個別帳戶擁有者僅可查看與其帳戶關聯的調查結果。與 AWS Organizations 整合可讓您在組織中使用 Security Hub 和 AWS Foundational Security 最佳實務標準自動啟用任何帳戶。

根據 ASFF 中的欄位篩選調查結果,並使用 GroupBy 陳述式將調查結果彙總到儲存貯體。例如,您可以篩選調查結果以僅顯示「關鍵」或「高」嚴重性調查結果,然後按資源 ID 將其分組,以查看哪些資源擁有最多的「關鍵」或「高」調查結果。Security Hub 將這些類型搜尋稱為洞察,且 Security Hub 會提供預先封裝的受管洞見,並讓您定義自己的自訂洞見。每個洞察包括時間序列走勢圖,以顯示與洞察相符的調查結果隨時間變化的趨勢。

自動化與回應

使用 Security Hub 自動化規則,以近乎即時的方式自動更新或隱藏調查結果。安全管理員可使用特定條件建立規則,以根據每個傳入的調查結果自動評估,並在相符時更新調查結果欄位。使用自動化規則來變更特定調查結果的嚴重性或工作流程狀態、加以隱藏,或更新其使用者定義欄位。

使用 Security Hub 與 Amazon EventBridge 的整合建立自訂自動化回應、修復和擴充工作流程。Security Hub 調查結果會自動傳送至 EventBridge,您可以建立 EventBridge 規則,該規則以 AWS Lambda 函數、AWS Step Function 函數或 AWS Systems Manager Automation 執行手冊為目標。Security Hub 也支援透過自訂動作隨選傳送調查結果至 EventBridge,而 Security Hub 自動回應和修復 (ASR) 解決方案可為您提供預先封裝的 EventBridge 規則,以便您透過 AWS Cloud Formation 進行部署。

Security Hub 整合各種票證、聊天、事件管理、威脅調查、管控、風險和合規 (GRC)、安全協同運作、自動化和回應 (SOAR) 及安全資訊和事件管理 (SIEM) 工具,這些工具可自動從 Security Hub 接收或向其傳送調查結果。

成本最佳化

您可以透過 30 天免費試用,免費試用 Security Hub。試用包括完整的 Security Hub 功能集和安全最佳實務檢查。每個區域中啟用 Security Hub 的每個 AWS 帳戶都會獲得免費試用。如果您繼續在相同的帳戶和區域使用 Security Hub,免費試用將為您提供每月帳單的估算。Security Hub 也提供永久免費方案,每個區域每個帳戶每月可擷取 1 萬個調查結果。進一步了解 Security Hub 定價

Security Hub 的定價分為三個維度:安全檢查的數量、擷取的調查結果數量,以及每月處理的規則評估數量。有了 AWS Organizations 的支援,Security Hub 能讓您連接多個 AWS 帳戶並整合這些帳戶的調查結果,以享受整個組織的安全檢查、調查結果擷取和自動化規則評估的分級定價。
Security Hub 會根據預先封裝的安全標準,自動且持續地執行最佳實務檢查,以評估 AWS 帳戶和資源的安全狀態。如果是針對在 Security Hub 所提供不同標準中通用的相同控制項進行的檢查,則不會向您收取重複檢查費用;Security Hub 只會向您收取一次費用。