启用安全标准 - AWS Security Hub
在多个账户和 AWS 区域中启用标准在单个账户和 AWS 区域中启用标准检查标准的状态

启用安全标准

在 AWS Security Hub CSPM 中启用安全标准后,Security Hub CSPM 会自动创建并启用所有适用于该标准的控件。Security Hub CSPM 还会开始运行安全检查,并生成控件的调查发现。

要优化覆盖范围和调查发现准确性,请在启用标准之前在 AWS Config 中启用和配置资源记录。在配置资源记录时,还要确保为适用于标准的控件检查的所有 资源类型启用它。否则,Security Hub CSPM 可能无法评估适当的资源,也无法针对适用于标准的控件生成准确的调查发现。有关更多信息,请参阅 为 Security Hub CSPM 启用和配置 AWS Config

启用某个标准后,您可以禁用或稍后重新启用适用于该标准的各个控件。如果禁用某个标准的控件,Security Hub CSPM 将停止为该控件生成调查发现。此外,Security Hub CSPM 在计算标准的安全分数时会忽略该控件。安全分数是指通过评估的控件占适用于标准、已启用且具有评估数据的控件总数的百分比。

启用某个标准后,Security Hub CSPM 会在您首次访问 Security Hub CSPM 控制台上的摘要安全标准页面后 30 分钟内生成该标准的初步安全分数。仅针对您访问控制台上的这些页面时启用的标准生成安全分数。此外,必须在 AWS Config 中配置资源记录,分数才能显示出来。在中国区域和 AWS GovCloud (US) Regions,Security Hub CSPM 最多可能需要 24 小时才能生成标准的初步安全分数。在 Security Hub CSPM 生成初步分数后,每 24 小时更新一次分数。要确定安全分数上次更新的时间,您可以参考 Security Hub CSPM 提供的分数时间戳。有关更多信息,请参阅 计算安全分数

如何启用标准取决于您是否使用中心配置来管理多个账户和 AWS 区域的 Security Hub CSPM。如果要在多账户、多区域环境中启用标准,我们建议使用中心配置。如果您将 Security Hub CSPM 与 AWS Organizations 集成,则可以使用中心配置。如果不使用中心配置,则必须在每个帐户和每个区域中分别启用每个标准。

在多个账户和 AWS 区域中启用标准

要在多个账户和 AWS 区域启用和配置安全标准,请使用中心配置。通过中心配置,受委派的 Security Hub CSPM 管理员可以创建 Security Hub CSPM 配置策略,以启用一个或多个标准。然后,管理员可以将配置策略与单个帐户、组织单元 (OU) 或根帐户关联起来。配置策略会影响主区域(也称为聚合区域)以及所有关联区域。

配置策略提供自定义选项。例如,您可以选择只针对一个 OU 启用 AWS 基础安全最佳实践 (FSBP) 标准。对于另一个 OU,您可以选择启用 FSBP 标准和互联网安全中心 (CIS) AWS 基金会基准 v1.4.0 标准。有关如何创建启用您指定的特定标准的配置策略的信息,请参阅创建和关联配置策略

如果您使用中心配置,Security Hub CSPM 不会在新账户或现有账户中自动启用任何标准。相反,Security Hub CSPM 管理员在为其组织创建 Security Hub CSPM 配置策略时,会指定要在不同的账户中启用哪些标准。Security Hub CSPM 提供了一种推荐的配置策略,其中仅启用 FSBP 标准。有关更多信息,请参阅 配置策略的类型

注意

Security Hub CSPM 管理员可以使用配置策略启用除 AWS Control Tower 服务托管标准之外的任何标准。要启用此标准,管理员必须直接使用 AWS Control Tower。此外,管理员还必须使用 AWS Control Tower 来启用或禁用集中管理账户中此标准的各个控件。

如果您希望某些账户为自己的账户启用和配置标准,Security Hub CSPM 管理员可以将这些账户指定为自行管理账户。自行管理账户必须在每个区域单独启用和配置标准。

在单个账户和 AWS 区域中启用标准

如果不使用中心配置或您有自行管理账户,则无法使用配置策略在多个账户或 AWS 区域中集中启用安全标准。但是,您可以在单个账户和区域中启用标准。您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 执行此操作。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台在一个账户和区域中启用标准。

要在一个账户和区域中启用标准

  1. 打开 AWS Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 使用页面右上角的 AWS 区域 选择器,选择要启用该标准的区域。

  3. 在导航窗格中,选择安全标准安全标准页面列出了 Security Hub CSPM 目前支持的所有标准。如果您已经启用了某个标准,则该标准的部分将包含当前安全分数和该标准的更多详细信息。

  4. 在要启用的标准的部分中,选择启用标准

要在其他区域启用该标准,请在每个其他区域中重复上述步骤。

Security Hub CSPM API

要在单个账户和区域中以编程方式启用标准,请使用 BatchEnableStandards 操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行 batch-enable-standards 命令。

在您的请求中,使用 StandardsArn 参数指定要启用的标准的 Amazon 资源名称 (ARN)。此外,请指定您的请求适用的区域。例如,以下命令启用 AWS 基础安全最佳实践 (FSBP) 标准:

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

其中 arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 是美国东部(弗吉尼亚州北部)区域 FSBP 标准的 ARN,而 us-east-1 是要启用该标准的区域。

要获取标准的 ARN,请使用 DescribeStandards 操作;或者,如果您使用的是 AWS CLI,请运行 describe-standards 命令。

要查看您的账户中当前已启用的标准列表,可以使用 GetEnabledStandards 操作。如果使用 AWS CLI,则可以运行 get-enabled-standards 命令来检索此列表。

启用某个标准后,Security Hub CSPM 将开始执行任务以在账户和指定的区域中启用该标准。这包括创建适用于该标准的所有控件。要监控这些任务的状态,您可以检查账户和区域中该标准的状态。

检查标准的状态

当您为某个账户启用安全标准时,Security Hub CSPM 会开始在账户中创建适用于该标准的所有控件。Security Hub CSPM 还会执行其他任务来为账户启用该标准,例如为该标准生成初步安全分数。当 Security Hub CSPM 执行这些任务时,该账户的标准的状态为 Pending。该标准的状态随后会经历其他状态,您可以监控和检查这些状态。

注意

对标准的各个控件的更改不会影响标准的总体状态。例如,如果启用以前禁用的控件,则您的更改不会影响标准的状态。同样,如果更改已启用控件的参数值,则更改不会影响标准的状态。

要使用 Security Hub CSPM 控制台检查标准的状态,请在导航窗格中选择安全标准安全标准页面列出了 Security Hub CSPM 目前支持的所有标准。如果 Security Hub CSPM 当前正在执行启用该标准的任务,则该标准的部分会指示 Security Hub CSPM 仍在为该标准生成安全分数。如果启用了某个标准,则该标准的部分将包括当前分数。选择查看结果以查看其他详细信息,包括适用于标准的各个控件的状态。有关更多信息,请参阅 有关运行安全检查的计划

要使用 Security Hub CSPM API 以编程方式检查标准的状态,请使用 GetEnabledStandards 操作。在请求中,可以选择使用 StandardsSubscriptionArns 参数来指定要检查状态的标准的 Amazon 资源名称 (ARN)。如果使用 AWS Command Line Interface (AWS CLI),则可以运行 get-enabled-standards 命令来检查标准的状态。要指定要检查的标准 ARN,请使用 standards-subscription-arns 参数。要确定要指定的 ARN,您可以使用 DescribeStandards 操作,或者对于 AWS CLI,请运行 describe-standards 命令。

如果您的请求成功,Security Hub CSPM 将返回一个 StandardsSubscription 对象数组。标准订阅是在为账户启用某个标准时 Security Hub CSPM 在账户中创建的 AWS 资源。每个 StandardsSubscription 对象都提供有关为账户当前已启用、正在启用或禁用的标准的详细信息。在每个对象中,StandardsStatus 字段指定账户的标准的当前状态。

标准的状态 (StandardsStatus) 可以是以下之一。

PENDING

Security Hub CSPM 当前正在执行为该账户启用标准的任务。这包括创建适用于该标准的控件以及为该标准生成初步安全分数。Security Hub CSPM 完成所有任务可能需要几分钟时间。如果已经为账户启用了某个标准,并且 Security Hub CSPM 目前正在向该标准添加新控件,则该标准也可能具有此状态。

如果某个标准具有这种状态,您可能无法检索适用于该标准的各个控件的详细信息。此外,您可能无法为标准配置或禁用单个控件。例如,如果您尝试使用 UpdateStandardsControl 操作禁用控件,则会发生错误。

要确定是否可以配置或以其他方式管理标准的各个控件,请参考 StandardsControlsUpdatable 字段的值。如果此字段的值为 READY_FOR_UPDATES,则可以开始管理该标准的各个控件。否则,请等待 Security Hub CSPM 完成其他处理任务以启用该标准。

READY

目前已为账户启用该标准。Security Hub CSPM 可以运行安全检查,并针对适用于该标准且当前已启用的所有控件生成调查发现。Security Hub CSPM 还可以计算标准的安全分数。

如果某个标准具有这种状态,则可以检索适用于该标准的各个控件的详细信息。此外,您还可以配置、禁用或重新启用这些控件。您也可以禁用标准。

INCOMPLETE

Security Hub CSPM 无法为账户完全启用标准。Security Hub CSPM 无法运行安全检查并针对适用于该标准且当前已启用的所有控件生成调查发现。此外,Security Hub CSPM 无法计算标准的安全分数。

要确定为什么标准没有完全启用,请参考 StandardsStatusReason 数组中的信息。此数组指定了导致 Security Hub CSPM 无法启用标准的问题。如果发生内部错误,请尝试再次为账户启用标准。对于其他类型的问题,请检查您的 AWS Config 设置。您还可以禁用不需要检查的单个控件,也可以完全禁用标准。

DELETING

Security Hub CSPM 当前正在处理对账户禁用标准的请求。这包括禁用适用于标准的控件以及移除关联的安全分数。Security Hub CSPM 处理请求可能需要几分钟时间。

如果某个标准具有这种状态,则您无法为账户重新启用标准或再次尝试禁用它。Security Hub CSPM 必须首先完成对当前请求的处理。此外,您无法检索适用于标准的各个控件的详细信息,也无法管理这些控件。

FAILED

Security Hub CSPM 无法为账户禁用标准。Security Hub CSPM 尝试禁用标准时发生了一个或多个错误。此外,Security Hub CSPM 无法计算标准的安全分数。

要确定为什么标准没有完全禁用,请参考 StandardsStatusReason 数组中的信息。此数组指定了导致 Security Hub CSPM 无法禁用标准的问题。

如果某个标准具有这种状态,则无法检索适用于该标准的各个控件的详细信息,也无法管理这些控件。但是,您可以为账户重新启用标准。如果解决了导致 Security Hub CSPM 无法禁用标准的问题,则也可以再次尝试禁用标准。

如果某标准的状态为 READY,则 Security Hub CSPM 会运行安全检查,并针对适用于该标准且当前已启用的所有控件生成调查发现。对于其他状态,Security Hub CSPM 可能会对某些(但不是全部)已启用的控件运行检查并生成调查发现。生成或更新控件调查发现可能需要长达 24 小时。有关更多信息,请参阅 有关运行安全检查的计划