了解安全中心中的中央配置 - AWS Security Hub
使用中央配置的好處何時使用中央配置?中央組態術語和概念

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解安全中心中的中央配置

集中配置是一項 Security Hub 功能,可幫助您跨多個設置和管理 Security Hub AWS 帳戶 以及 AWS 區域。 若要使用中央設定,您必須先整合 Security Hub 和 AWS Organizations。 您可以建立組織並指定組織的委派 Security Hub 系統管理員帳戶,以整合服務。

從委派的 Security Hub 系統管理員帳戶中,您可以指定如何跨區域在組織帳戶和組織單位 (OUs) 中設定 Security Hub 服務、安全性標準和安全性控制項。您只需幾個步驟即可從一個主要區域 (稱為「地區」) 設定這些定。

當您使用中央組態時,委派的系統管理員可以選擇OUs要設定的帳戶和帳戶。如果委派的系統管理員將成員帳戶或 OU 指定為自我管理,則該成員可以在每個區域中個別設定自己的設定。如果委派的系統管理員將成員帳戶或 OU 指定為集中管理,則只有委派的系統管理員可以跨區域設定成員帳戶或 OU。您可以將組織OUs中的所有帳戶指定為集中管理、全部自行管理或兩者的組合。

若要設定集中管理的帳戶,委派的系統管理員會使用 Security Hub 組態原則。組態原則可讓委派的系統管理員指定是否啟用或停用 Security Hub,以及啟用和停用哪些標準和控制項。它們也可以用來自定義某些控件的參數。

組態原則會在主區域和所有連結的區域中生效。委派的管理員會在開始使用中央組態之前,指定組織的主「區域」和「連結的區域」。指定連結區域是選擇性的。委派的系統管理員可以為整個組織建立單一組態原則,或建立多個組態原則來設定不同帳戶和的變數設定OUs。

提示

如果您不使用中央設定,則必須在每個帳戶和區域中分別設定 Security Hub。這就是所謂的本地配置。在本機組態下,委派的系統管理員可以自動啟用 Security Hub 和目前區域中新組織帳戶中的有限安全性標準集合。本機設定不適用於現有的組織帳戶或目前區域以外的區域。本機設定也不支援使用設定原則。

本節提供中央組態的概觀。

使用中央配置的好處

集中配置的優點包括:

簡化安全中樞服務和功能的組態

當您使用中央組態時,Security Hub 會引導您完成為組織設定安全性最佳做法的程序。它也會自動將產生的組態策略部署到指定的OUs帳戶。如果您有現有的 Security Hub 設定 (例如自動啟用新的安全性控制項),您可以使用這些設定做為組態原則的起點。此外,Security Hub 主控台上的 [組態] 頁面會顯示設定策略以及哪些帳戶和OUs使用每個策略的即時摘要。

跨帳戶和區域進行設定

您可以使用集中設定跨多個帳戶和區域設定 Security Hub。這有助於確保組織的每個部分都維持一致的組態和適當的安全性涵蓋範圍。

適應不同帳戶中的不同配置 OUs

透過集中設定,您可以選擇以不同方式設定組織的帳戶。OUs例如,您的測試帳戶和生產帳戶可能需要不同的配置。您也可以建立涵蓋新帳戶加入組織時的組態策略。

防止配置漂移

當使用者變更與委派管理員的選擇衝突的服務或功能時,就會發生組態偏移。中央配置可防止這種漂移。當您將帳戶或 OU 指定為集中管理時,只能由組織的委派系統管理員進行設定。如果您偏好使用特定帳戶或 OU 來設定自己的設定,可以將其指定為自我管理。

何時使用中央配置?

中央配置是最有利的 AWS 包含多個 Security Hub 帳戶的環境。它旨在幫助您集中管理多個帳戶的 Security Hub。

您可以使用中央組態來設定 Security Hub 服務、安全性標準和安全性控制。您也可以使用它來自定義某些控件的參數。如需有關安全性標準的更多資訊,請參閱了解 Security Hub 中的安全標準。如需有關安全性控制的詳細資訊,請參閱了解 Security Hub 中的安全控制

中央組態術語和概念

瞭解下列重要術語和概念可協助您使用 Security Hub 中央組態。

中央配置

Security Hub 功能可協助組織委派的 Security Hub 系統管理員帳戶設定 Security Hub 服務、安全性標準,以及跨多個帳戶和區域的安全性控制。若要設定這些設定,委派的系統管理員會針對其組織中的集中管理帳戶建立和管理 Security Hub 組態原則。自我管理帳戶可以在每個區域中個別設定自己的設定。若要使用中央設定,您必須整合 Security Hub 和 AWS Organizations.

首頁地區

所以此 AWS 區域 委派的系統管理員透過建立和管理組態原則,從中集中設定 Security Hub。組態原則會在主區域和所有連結的區域中生效。

本地區域也可作為 Security Hub 彙總區域,從連結的區域接收發現項目、見解和其他資料。

以下地區 AWS 在 2019 年 3 月 20 日或之後推出的稱為選擇加入區域。選擇加入的區域不能是主要區域,但可以是連結的區域。如需選擇加入區域的清單,請參閱啟用和停用區域之前的考量事項 AWS 帳戶管理參考指南

連結區域

同時 AWS 區域 可以從家庭區域配置。組態原則是由委派管理員在首頁區域中建立的。這些政策會在首頁「區域」和所有連結的區域中生效。指定連結區域是選擇性的。

鏈接的區域還將發現結果,見解和其他數據發送到主區域。

以下地區 AWS 在 2019 年 3 月 20 日或之後推出的稱為選擇加入區域。您必須先為帳戶啟用此類區域,才能套用組態原則。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需詳細資訊,請參閱指定 AWS 區域 您的帳戶可以使用 AWS 帳戶管理參考指南

目標

同時 AWS 帳戶、組織單位 (OU) 或組織根目錄。

Security Hub 組態原則

委派的系統管理員可以針對集中管理的目標設定的 Security Hub 設定集合。其中包含:

  • 是否啟用或停用 Security Hub。

  • 是否啟用一個或多個安全標準

  • 在啟用的標準中啟用哪些安全控制項。委派的系統管理員可以提供應啟用的特定控制項清單來執行此操作,而 Security Hub 會停用所有其他控制項 (包括釋放時的新控制項)。或者,委派的系統管理員可以提供應停用的特定控制項清單,而 Security Hub 會啟用所有其他控制項 (包括釋放時的新控制項)。

  • (可選) 自訂已啟用標準中選取的已啟用控制項的參數

配置策略在至少與一個帳戶、組織單位 (OU) 或根目錄相關聯之後,在主「區域」和所有連結的區域中生效。

在 Security Hub 主控台上,委派的系統管理員可以選擇 Security Hub 建議的組態原則或建立自訂組態原則。使用安 Security Hub API 和 AWS CLI,委派的管理員只能建立自訂組態原則。委派的系統管理員最多可以建立 20 個自訂組態原則。

在建議的組態原則 Security Hub 中, AWS 基礎安全性最佳做法 (FSBP) 標準,以及所有現有和新的FSBP控制項均已啟用。接受參數的控制項使用預設值。建議的組態原則適用於整個組織。

若要將不同的設定套用至組織,或將不同的組態策略套用至不同的帳戶OUs,然後建立自訂組態策略。

本機組態

整合 Security Hub 和之後,組織的預設組態類型 AWS Organizations。 透過本機組態,委派的系統管理員可以選擇在目前區域中的組織帳戶中自動啟用 Security Hub 和預設安全性標準。如果委派管理員自動啟用預設標準,屬於這些標準的所有控制項也會自動啟用新組織帳戶的預設參數。這些設定不適用於現有帳戶,因此在帳戶加入組織後可能會有組態偏差。停用屬於預設標準一部分的特定控制項,以及規劃其他標準和控制項,必須分別在每個帳戶和區域中完成。

本機設定不支援使用設定原則。若要使用組態原則,您必須切換到中央組態。

手動帳戶管理

如果您未將 Security Hub 與 AWS Organizations 或者您有一個獨立帳戶,您必須在每個區域分別指定每個帳戶的設置。手動帳號管理不支援使用設定原則。

中央配置 APIs

只有 Security Hub 委派安全中心系統管理員可以在主區域中使用的資訊安全中心作業,以管理集中管理帳戶的組態原則。這些操作包括:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

帳戶特定 APIs

可用來啟用或停用安全中樞、標準和控制項的安全性中樞作業。 account-by-account 這些操作在每個單獨的區域中使用。

自我管理帳戶可以使用帳戶特定的操作來配置自己的設置。集中管理的帳戶無法在本地區和連結區域中使用下列帳戶特定作業。在這些區域中,只有委派的系統管理員可以透過中央組態作業和組態原則來設定集中管理的帳戶。

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

若要檢查帳戶狀態,集中管理帳戶的擁有者可以使用 Security Hub 的任何GetDescribe作業API。

如果您使用本機設定或手動帳號管理,而非集中設定,則可以使用這些帳戶特定的作業。

自我管理帳戶也可以使用*Invitations*Members操作。不過,我們建議自行管理帳戶不要使用這些作業。如果成員帳戶擁有自己的成員,這些成員屬於與委派管理員不同組織的一部分,則原則關聯可能會失敗。

組織單位 (OU)

In (入) AWS Organizations 和 Security Hub,一組的容器 AWS 帳戶。 組織單位 (OU) 也可以包含其他單位OUs,讓您建立類似於上下顛倒樹狀結構的階層,父 OU 位於頂端,而其分支則會延伸至下方,以樹狀結尾的帳戶結束。OUs一個 OU 只能有一個父項,而且每個組織帳戶只能是一個 OU 的成員。

您可以OUs在 AWS Organizations 或 AWS Control Tower。 如需詳細資訊,請參閱管理中的組織單位 AWS Organizations 使用者指南管理組織和帳戶 AWS Control Tower 中的 AWS Control Tower 使用者指南

委派的管理員可以將組態策略與特定帳OUs號或 (或) 與根帳號相關聯,以涵蓋組織OUs中的所有帳號。

集中管理

只有委派管理員才能使用組態原則,跨區域設定的目標。

委派的系統管理員帳戶會指定是否集中管理目標。委派的系統管理員也可以將目標的狀態從集中管理變更為自我管理,或其他方式。

自我管理

管理其本身 Security Hub 設定的目標。自我管理的目標會使用帳戶特定作業,在每個區域中個別設定 Security Hub。這與集中管理的目標不同,這些目標只能由委派管理員透過組態原則跨區域設定。

委派的系統管理員帳戶會指定目標是否為自我管理。委派的管理員可以將自我管理的行為套用至目標。或者,帳戶或 OU 也可以從父項繼承自我管理的行為。

委派的系統管理員帳戶本身可以是自我管理的帳戶。委派的管理員帳戶可以將目標的狀態從自我管理變更為集中管理,或其他方式變更。

組態原則關聯

設定原則與帳號、組織單位 (OU) 或根目錄之間的連結。當原則關聯存在時,帳號、OU 或根使用組態原則所定義的設定。在以下任一情況下都存在關聯:

  • 當委派的系統管理員直接將組態原則套用至帳戶、OU 或根目錄時

  • 當帳號或 OU 從父 OU 或根目錄繼承組態原則時

關聯存在,直到套用或繼承不同的組態為止。

套用的組態原則

一種組態原則關聯類型,OUs委派管理員可在其中將組態原則直接套用至目標帳戶或根帳戶。目標是以組態原則所定義的方式設定,而且只有委派管理員可以變更其組態。如果套用至 root,則組態原則會影響所有帳戶以及組織OUs中未透過應用程式或從最接近的父項繼承使用不同組態的帳戶。

委派的系統管理員也可以將自我管理的組態套用至特定帳戶或根帳戶。OUs

繼承的組態原則

一種組態原則關聯類型,其中帳戶或 OU 會採用最接近的父 OU 或根目錄的組態。如果設定原則未直接套用至帳戶或 OU,則會繼承最接近父系的組態。政策的所有元素都會繼承。換句話說,帳戶或 OU 無法選擇只繼承部分原則。如果最接近的父系是自我管理的,子帳戶或 OU 會繼承父項的自我管理行為。

繼承不能覆蓋應用的配置。也就是說,如果設定原則或自我管理的設定直接套用至帳戶或 OU,它會使用該組態,而且不會繼承父項的組態。

In (入) AWS Organizations 和 Security Hub,組織中的頂層父節點。如果委派的管理員將組態策略套用至 root,則該策略會與組織OUs中的所有帳戶相關聯,除非他們透過應用程式或繼承使用不同的策略,或指定為自我管理。如果系統管理員將根指定為自我管理,除非他們透過應用程式或繼承使用組態原則,否則所有帳戶和組織OUs中的帳戶都是自我管理的。如果根目錄為自我管理且目前沒有組態策略存在,則組織中的所有新帳號都會保留其目前的設定。

加入組織的新帳戶會屬於根帳戶,直到它們被指派給特定 OU 為止。如果新帳戶未指派給 OU,除非委派系統管理員將其指定為自我管理帳戶,否則它會繼承根組態。