設定 Security Hub 的最佳做法

以下最佳做法可協助您充分利用 AWS Security Hub.

整合 Security Hub 和 AWS Organizations

AWS Organizations 是一項全球帳戶管理服務，可啟用 AWS 管理員可以整合並集中管理多個 AWS 帳戶 和組織單位 (OUs)。它提供帳戶管理和合併帳單功能，旨在支援預算、安全性和合規性需求。它不收取額外費用，並與多個集成 AWS 服務，包括 Security Hub GuardDuty，Amazon 和 Amazon Macie。

為了協助自動化和簡化帳戶管理，我們強烈建議您整合 Security Hub 和 AWS Organizations。 如果您有多個 Organizations，則可以與組織整合 AWS 帳戶 使用 Security Hub。

如需啟動整合的指示，請參閱整合 Security Hub 與 AWS Organizations。

使用中央配置

當您整合 Security Hub 和組織時，您可 Organizations 選擇使用稱為中央組態的功能，為您的組織設定和管理 Security Hub。我們強烈建議您使用中央組態，因為它可讓系統管理員自訂組織的安全性涵蓋範圍。在適當情況下，委派的系統管理員可以允許成員帳戶設定自己的安全性涵蓋範圍設定。

中央設定可讓委派的系統管理員跨帳戶設定 Security HubOUs，以及 AWS 區域。 委派的系統管理員會藉由建立組態原則來設定 Security Hub。在組態原則中，您可以指定下列設定：

• Security Hub 是否已啟用或停用

• 啟用和停用哪些安全標準

• 啟用和停用哪些安全控制

• 是否自訂選取控制項的參數

身為委派的系統管理員，您可以為整個組織建立單一組態原則，或為各種帳戶和建立不同的組態原則OUs。例如，測試帳戶和生產帳戶可以使用不同的配置策略。

會集中管理成員帳戶和OUs使用組態原則的帳戶，且只能由委派的系統管理員進行設定。委派的系統管理員可以指定特定的成員帳戶和自我管理，讓成員能夠OUs依區域設定自己的設定。

如果您不使用中央設定，則必須在每個帳戶和區域中分別設定 Security Hub。這就是所謂的本地配置。在本機組態下，委派的系統管理員可以自動啟用 Security Hub 和目前區域中的新組織帳戶中的有限安全性標準集合。本機設定不適用於現有的組織帳戶或目前區域以外的區域。本機設定也不支援使用設定原則。

若要進一步瞭解中央規劃，請參閱了解安全中心中的中央配置。

設定 AWS Config 適用於 Security Hub

AWS Security Hub 使用服務連結 AWS Config 執行安全性檢查並為大多數控制項產生發現項目的規則。因此，要接收控制結果， AWS Config 必須在每個帳戶中啟用 AWS 區域 啟用 Security Hub 的位置。如果您的帳戶是組織的一部分， AWS Config 必須在管理員帳戶和所有成員帳戶的每個區域中啟用。此外，當您啟用安全標準時， AWS Config 必須配置為記錄屬於標準一部分的已啟用控制項的必要資源。

我們強烈建議您開啟資源記錄 AWS Config 在您啟用 Security Hub 標準之前。如果 Security Hub 嘗試在資源記錄關閉時執行安全性檢查，則檢查會傳回錯誤，直到您啟用 AWS Config 並開啟資源記錄。

Security Hub 不管理 AWS Config 為了你。如果您已經擁有 AWS Config 啟用時，您可以透過 AWS Config 控制台或APIs。

如果您啟用標準但尚未啟用 AWS Config，Security Hub 嘗試建立 AWS Config 根據以下時間表的規則：

• 在您啟用標準的當天

• 啟用標準的第二天

• 啟用標準後 3 天

• 啟用標準後的 7 天 (之後每 7 天連續一次)

如果您使用中央組態，Security Hub 也會嘗試建立 AWS Config 每次套用設定策略時，規則會啟用一或多個帳號、組織單位 (OUs) 或根標準。

啟用 AWS Config

如果您尚未啟用 AWS Config 您已經可以透過下列其中一種方式啟用它：

• 控制台或 AWS CLI— 您可以手動啟用 AWS Config 使用 AWS Config 控制台或 AWS CLI。 請參閱開始使用 AWS Config 中的 AWS Config 開發人員指南。

• AWS CloudFormation 模板 -如果你想啟用 AWS Config 在大量帳戶上，您可以啟用 AWS Config 與 CloudFormation 模板啟用 AWS Config。 若要存取此範本，請參閱〈AWS CloudFormation StackSets 中的範例範本 AWS CloudFormation 用戶指南。

• Github 腳本 — Security Hub 提供了一個GitHub 腳本，可為跨區域的多個帳戶啟用 Security Hub。如果您尚未與組織整合，或您的帳戶不屬於組織，則此指令碼非常有用。當您使用此指令碼來啟用 Security Hub 時，它也會自動啟用 AWS Config 對於這些帳戶。

如需啟用的詳細資訊 AWS Config 若要協助您執行 Security Hub 全性檢查，請參閱最佳化 AWS Config for AWS Security Hub 有效管理您的雲端安全狀態。

在中開啟資源記錄 AWS Config

當您使用默認設置打開資源記錄時， AWS Config 記錄它發現的所有支援的區域資源類型 AWS 區域 它正在運行。您也可以配置 AWS Config 記錄支持的全局資源類型。您只需要在單一區域中記錄全域資源 (如果您使用中央設定，我們建議您將這個區域設定為您的本地區域)。

如果您使 CloudFormation StackSets 用啟用 AWS Config，我們建議您執行兩種不同的方式 StackSets。執行一個， StackSet 以在單一區域中記錄所有資源，包括全域資源。執行一秒鐘， StackSet 以記錄除其他區域中的全域資源以外的所有資源。

您也可以使用「快速設定」功能 AWS Systems Manager，以快速配置資源記錄 AWS Config 跨您的帳戶和區域。在「快速設定」程序期間，您可以選擇要記錄全域資源的「區域」。如需詳細資訊，請參閱 AWS Config 組態錄製程式 AWS Systems Manager 用戶指南。

如果該區域未記錄，則安全控制 Config.1 會針對聚合器中的連結區域以外的區域產生失敗的發現項目 (「區域」和「區域」完全不在尋找彙總器中) AWS Identity and Access Management （IAM）全球資源並啟用了需要記錄IAM全局資源的控件。在連結的區域中，Config.1 不會檢查是否已記錄IAM全域資源。如需每個控制項所需的資源清單，請參閱必要 AWS Config Security Hub 控制項發現的資源。

如果您使用多帳戶指令碼來啟用 Security Hub，它會自動啟用所有區域中所有資源 (包括全域資源) 的資源記錄。然後，您可以更新組態，以便僅在單一「區域」中記錄全域資源。如需資訊，請參閱選取哪些資源 AWS Config在中的記錄 AWS Config 開發人員指南。

為了讓 Security Hub 準確地報告依賴的控制項的發現 AWS Config 規則時，您必須啟用相關資源的錄製功能。如需控制項及其相關清單 AWS Config 資源，請參閱必要 AWS Config Security Hub 控制項發現的資源。AWS Config 可讓您在連續記錄和每日記錄資源狀態變更之間進行選擇。如果您選擇每日錄製， AWS Config 如果資源狀態發生變更，則會在每 24 小時期間結束時提供資源組態資料。如果沒有變更，則不會傳送任何資料。這可能會延遲產生變更觸發控制項的 Security Hub 發現項目，直到 24 小時期間完成為止。

注意

若要在安全性檢查之後產生新的發現項目並避免發現過時，您必須擁有足夠的權限讓附加至組態錄製程式的IAM角色，才能評估基礎資源。

成本考量

如需與資源記錄相關聯的成本資訊，請參閱 AWS Security Hub 定價和 AWS Config 定價。

Security Hub 可能會影響您的 AWS Config 透過更新組態項目來AWS::Config::ResourceCompliance組態記錄程式成本。每次與 Security Hub 控制項相關聯時，都可能會發生更新 AWS Config 規則會變更符合性狀態、已啟用或停用，或具有參數更新。如果您使用 AWS Config 配置記錄器僅適用於 Security Hub，並且不要將此配置項用於其他目的，我們建議關閉記錄 AWS Config 控制台或 AWS CLI。 這可以減少你的 AWS Config 成本。您不需要記錄AWS::Config::ResourceCompliance安全檢查即可在安全中心中工作。