啟用和停用安全性標準 - AWS Security Hub
啟用安全性標準停用安全性標準

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和停用安全性標準

您可以啟用或停用資訊安全中心中提供的每個安全性標準。

啟用任何安全性標準之前,請確定您已啟用 AWS Config 並設定資源記錄。否則,Security Hub 可能無法針對套用至標準的控制項產生發現項目。如需詳細資訊,請參閱 配置 AWS Config

注意

啟用和停用標準的指示會根據您是否使用中央規劃而有所不同。本節說明差異。集中設定可供整合 Security Hub 和的使用者使用 AWS Organizations。我們建議您使用中央組態來簡化在多帳戶、多區域環境中啟用和停用標準的程序。

啟用安全性標準

當您啟用安全性標準時,會在其中自動啟用套用至該標準的所有控制項。Security Hub 也會開始針對套用至標準的控制項產生發現項目。

您可以選擇在每個標準中啟用和停用哪些控制項。停用控制項會停止產生控制項的發現項目,而在計算安全分數時會忽略控制項。

當您啟用 Security Hub 時,Security Hub 會在您第一次造訪 Security Hub 主控台上的 [摘要] 頁面或 [安全性標準] 頁面後的 30 分鐘內,計算標準的初始安全分數。在中國和地區產生首次安全分數最多可能需要 24 小時 AWS GovCloud (US) Region。只有在您造訪這些頁面時啟用的標準,才會產生分數。此外,必須配置 AWS Config 資源記錄才能顯示分數。在第一次產生分數之後,Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記,以指出上次更新安全分數的時間。若要檢視您帳戶中目前已啟用的標準清單,請叫用 GetEnabledStandardsAPI。

跨多個帳戶和區域啟用標準

若要跨多個帳戶啟用安全性標準 AWS 區域,您必須使用中央設定

當您使用中央組態時,委派的系統管理員可以建立啟用一或多個標準的 Security Hub 組態原則。然後,您可以將組態原則與特定帳戶和組織單位 (OU) 或根建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。

組態原則提供自訂功能。例如,您可以選擇在一個 OU 中僅啟用基 AWS 礎安全性最佳作法 (FSBP),也可以選擇在另一個 OU 中啟用 FSBP 和網際網路安全中心 (CIS) AWS 基準測試 V1.4.0。如需建立啟用指定標準之組態原則的指示,請參閱 建立和關聯安全性中樞組態原則

如果您使用中央設定,Security Hub 不會自動在新帳戶或現有帳戶中啟用任何標準。而是在建立組態原則時,委派的管理員會定義要在不同帳戶中啟用哪些標準。Security Hub 提供建議的組態原則,其中僅啟用 FSBP。如需詳細資訊,請參閱 組態原則的類型

注意

委派的系統管理員可以建立組態原則,以啟用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中啟用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。

如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。

在單一帳戶和區域中啟用標準

如果您不使用中央設定,或者您是自我管理帳戶,則無法使用設定原則來集中啟用多個帳戶和區域的標準。但是,您可以使用下列步驟在單一帳戶和區域中啟用標準。

Security Hub console
在一個帳戶和區域中啟用標準

  1. 請在以下位置開啟 AWS Security Hub 主控台。 https://console.aws.amazon.com/securityhub/

  2. 確認您在要啟用標準的區域中使用安全性中樞。

  3. 在 [安全中心] 瀏覽窗格中,選擇 [安全性標準]。

  4. 針對您要啟用的標準,選擇 Enable (啟用)。這也會啟用該標準內的所有控制項。

  5. 在您要在其中啟用標準的每個區域中重複此步驟。

Security Hub API
在一個帳戶和區域中啟用標準

  1. 調用該 BatchEnableStandardsAPI。

  2. 提供您要啟用之標準的 Amazon 資源名稱 (ARN)。若要取得標準 ARN,請呼叫 DescribeStandardsAPI。

  3. 在您要在其中啟用標準的每個區域中重複此步驟。

AWS CLI
在一個帳戶和區域中啟用標準

  1. 執行 batch-enable-standards 命令。

  2. 提供您要啟用之標準的 Amazon 資源名稱 (ARN)。若要取得標準 ARN,請執行指describe-standards令。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    範例

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 在您要在其中啟用標準的每個區域中重複此步驟。

自動啟用預設安全性標準

如果您不使用中央設定,Security Hub 會在新帳戶加入您的組織時,自動啟用預設安全性標準。屬於預設標準一部分的所有控制項也會自動啟用。目前,自動啟用的預設安全性標準為基 AWS 礎安全性最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS 基準測試 v1.2.0。如果您偏好在新帳戶中手動啟用標準,可以關閉自動啟用的標準。

如果您使用中央組態,您可以建立啟用預設標準的組態原則,並將此原則與根建立關聯。您的所有組織帳號和 OU 都會繼承此組態原則,除非它們與不同的策略相關聯或是自我管理。

關閉自動啟用的標準

下列步驟僅適用於與整合, AWS Organizations 但不使用中央設定時。如果您未使用 [Organizations] 整合,可以在第一次啟用 Security Hub 時關閉預設標準,或者您也可以遵循停用標準的步驟。

Security Hub console
關閉自動啟用的標準的步驟

  1. 請在以下位置開啟 AWS Security Hub 主控台。 https://console.aws.amazon.com/securityhub/

    使用管理員帳戶的憑據登錄。

  2. 在 [Security Hub] 瀏覽窗格的 [設定] 下,選擇 [組態]。

  3. 在「帳戶」區段中,關閉「自動啟用預設標準」。

Security Hub API
關閉自動啟用的標準的步驟

  1. 從 Security Hub 系統管理員帳戶叫用 UpdateOrganizationConfigurationAPI。

  2. 若要關閉新成員帳戶中自動啟用的標準,請將「AutoEnableStandards等於」設定為NONE

AWS CLI
關閉自動啟用的標準的步驟

  1. 執行 update-organization-configuration 命令。

  2. 包括auto-enable-standards參數以關閉新成員帳戶中自動啟用的標準。

    aws securityhub update-organization-configuration --auto-enable-standards

停用安全性標準

當您停用安全性中心中的安全性標準時,會發生下列情況:

  • 套用至標準的所有控制項也會停用,除非它們與其他標準相關聯。

  • 不再執行停用控制項的檢查,且不會針對停用的控制項產生其他發現項目。

  • 停用控制項的現有發現項目會在大約 3-5 天後自動封存。

  • Security Hub 為停用的控制項建立的 AWS Config 規則會遭到移除。

    這通常會在停用標準後的幾分鐘內發生,但可能需要更長的時間。如果第一個刪除規則的要求失敗, AWS Config 則 Security Hub 會每 12 小時重試一次。不過,如果您停用 Security Hub 或您沒有啟用任何其他標準,則 Security Hub 無法重試要求,這表示它無法刪除 AWS Config 規則。如果發生這種情況,並且您需要刪除 AWS Config 規則,請聯繫 AWS Support。

停用跨多個帳戶和區域的標準

若要停用跨多個帳戶和區域的安全性標準,您必須使用中央設定

當您使用中央組態時,委派的管理員可以建立停用一或多個標準的組態原則。您可以將組態原則與特定帳戶和 OU 或根建立關聯。設定原則會在您的主區域 (也稱為彙總區域) 和所有連結的區域中生效。

組態原則提供自訂功能。例如,您可以選擇在一個 OU 中停用支付卡產業資料安全標準 (PCI DSS),也可以選擇在另一個 OU 中同時停用 PCI DSS 和國家標準與技術研究所 (NIST) SP 800-53 Rev. 5。如需建立停用指定標準之組態原則的指示,請參閱建立和關聯安全性中樞組態原則

注意

委派的系統管理員可以建立組態原則,以停用服務管理標準以外的任何標準: AWS Control Tower。您只能在 AWS Control Tower 服務中停用此標準。如果您使用中央設定,則只能在中針對集中管理的帳戶啟用和停用此標準中的控制項 AWS Control Tower。

如果您希望某些帳戶設定自己的標準,而不是委派的系統管理員,委派的系統管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中個別設定標準。

在單一帳戶和區域中停用標準

如果您不使用中央設定或是自我管理帳戶,則無法使用設定原則集中停用多個帳戶和區域中的標準。但是,您可以使用下列步驟來停用單一帳戶和區域中的標準。

Security Hub console
若要在一個帳戶和區域中停用標準

  1. 請在以下位置開啟 AWS Security Hub 主控台。 https://console.aws.amazon.com/securityhub/

  2. 確認您在要停用標準的區域中使用安全性中樞。

  3. 在 [安全中心] 瀏覽窗格中,選擇 [安全性標準]。

  4. 針對您要停用的標準,選擇 Disable (停用)

  5. 在要禁用標準的每個區域中重複此操作。

Security Hub API
若要在一個帳戶和區域中停用標準

  1. 調用該 BatchDisableStandardsAPI。

  2. 針對您要停用的每個標準,提供標準訂閱 ARN。若要取得已啟用標準的訂閱 ARN,請呼叫 GetEnabledStandardsAPI。

  3. 在要禁用標準的每個區域中重複此操作。

AWS CLI
若要在一個帳戶和區域中停用標準

  1. 執行 batch-disable-standards 命令。

  2. 針對您要停用的每個標準,提供標準訂閱 ARN。若要取得已啟用標準的訂閱 ARN,請執行命get-enabled-standards令。

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    範例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 在要禁用標準的每個區域中重複此操作。