什麼是 AWS Security Hub? - AWS Security Hub
安全中心的優點存取 Security Hub相關服務Security Hub 免費試用、使用和定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Security Hub?

AWSSecurity Hub 為您提供中安全性狀態的全面檢視,AWS並協助您根據安全性產業標準和最佳做法來評估您的AWS環境。

Security Hub 會收集和支援的協力廠商產品之間AWS 帳戶的安全性資料AWS services,並協助您分析安全性趨勢並找出最優先順序的安全性問題。

為了協助您管理組織的安全性狀態,Security Hub 支援多種安全性標準。其中包括由開發的AWS基礎安全性最佳實務 (FSBP) 標準AWS,以及外部合規架構,例如網際網路安全中心 (CIS)、支付卡產業資料安全標準 (PCI DSS),以及美國國家標準與技術研究所 (NIST)。每個標準都包含數個安全控制,每個控制都代表安全性最佳實務。Security Hub 會針對安全性控制執行檢查,並產生控制發現項目,協助您根據安全性最佳實務來評估合規性。

除了產生控制發現之外,Security Hub 還會收到來自其他 AWS services (例如亞馬遜 GuardDuty、Amazon Inspector 和 Amazon Macie) 的發現結果,以及支援的第三方產品。這為您提供了一個單一窗格,解決各種與安全性相關的問題。您也可以將 Security Hub 發現項目傳送給其他AWS services和支援的協力廠商產品。

Security Hub 提供的自動化功能可協助您分類和修復安全性問題。例如,您可以使用自動化規則,在安全性檢查失敗時自動更新重大發現項目。您也可以利用與 Amazon 的整合 EventBridge 來觸發特定發現項目的自動回應。

安全中心的優點

以下是 Security Hub 協助您監控整個AWS環境中的合規性和安全性狀態的一些關鍵方式。

可讓您更輕易地收集和排列問題清單的優先順序

Security Hub 可減少收集整合式和合AWS作夥伴產品跨帳戶的安全發現項目AWS services並排定優先順序的工作。Security Hub 使用AWS安全性尋找格式 (ASFF) (標準尋找格式) 來處理尋找資料。這樣就不需要以多種格式管理來自眾多來源的發現項目。Security Hub 也會關聯不同提供者的發現項目,協助您排定最重要的項目的優先順序。

根據最佳實務和標準自動進行安全檢查

Security Hub 會根據AWS最佳實務和業界標準,自動執行連續的帳戶層級組態和安全性檢查。Security Hub 使用這些檢查的結果來計算安全分數,並識別需要注意的特定帳戶和資源。

合併帳戶與提供者問題清單的檢視

Security Hub 會整合帳戶和提供者產品之間的安全發現項目,並在 Security Hub 主控台上顯示結果。您也可以透過安全中心 API 或 SDK 擷取發現項目。AWS CLI透過全面檢視您目前的安全狀態,您可以發現趨勢、識別潛在問題,並採取必要的補救措施。

能夠自動尋找更新和補救

您可以建立根據您定義的條件修改或隱藏發現項目的自動化規則。Security Hub 還支持與 Amazon 的集成 EventBridge。若要自動修復特定發現項目,您可以定義產生搜尋結果時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。

存取 Security Hub

Security Hub 在大多數情況下都可用AWS 區域。如需目前提供安全中樞的區域清單,請參閱 AWS AWS 一般參考. 如需管理您的帳戶AWS 區域的相關資訊AWS 帳戶,請參閱AWS Account Management參考指南中的「指定AWS 區域您的帳戶可以使用的項目」。

在每個區域中,您可以透過下列任一方式存取和使用資訊安全中心:

Security Hub 主控台

這AWS Management Console是一個基於瀏覽器的介面,您可以使用它來建立和管理AWS資源。作為該主控台的一部分,Security Hub 主控台可讓您存取您的 Security Hub 帳戶、資料和資源。您可以使用 Security Hub 主控台來執行 Security Hub 工作:檢視發現項目、建立自動化規則、建立彙總區域等等。

Security Hub API

Security Hub API 可讓您以程式設計方式存取您的 Security Hub 帳戶、資料和資源。透過 API,您可以將 HTTPS 要求直接傳送至 Security Hub。如需 API 的相關資訊,請參閱 AWSSecurity Hub API 參考

AWS CLI

使用AWS CLI,您可以在系統的命令列上執行命令,以執行 Security Hub 工作。在某些情況下,使用命令列可能比使用主控台更快、更方便。如果您想要建置執行工作的指令碼,指令列也很有用。如需安裝與使用 AWS CLI 的詳細資訊,請參閱 AWS Command Line Interface 使用者指南

AWS SDK

AWS提供包含各種程式設計語言和平台 (例如 Java、Go、Python、C++ 和 .NET) 的程式庫和範例程式碼的開發套件。SDK 提供方便、以程式設計方式存取安全中心及其他您偏好AWS services的語言。他們還處理諸如密碼編譯簽名請求,管理錯誤以及自動重試請求等任務。如需有關安裝和使用 AWS SDK 的詳細資訊,請參閱建置在其上AWS的工具

重要

Security Hub 只會偵測並整合您啟用 Security Hub 之後所產生的發現項目。它不會追溯偵測並整合您啟用 Security Hub 之前產生的安全性發現項目。

Security Hub 只會在您帳戶中啟用資訊安全中心的區域中接收和處理發現項目。

若要完全符合 CIS AWS 基準測試安全性檢查,您必須在所有支援的AWS區域啟用資訊安全中心。

為了進一步保護您的AWS環境,請考慮使用其他與安全AWS services中心結合使用。

如需其他AWS services傳送或接收 Security Hub 發現項目的清單,請參閱AWS service 與 AWS Security Hub 的整合

Security Hub 使用服務連結規則AWS Config來執行大部分控制項的安全性檢查。您必須在AWS Config中啟用AWS Config並記錄資源,Security Hub 才能產生大部分的控制項發現項目。如需詳細資訊,請參閱 配置 AWS Config

Security Hub 免費試用和定價

當您第一次啟用安全中心時,該帳戶會自動註冊 30 天的安全性中心免費試用。AWS 帳戶

當您在免費試用期間使用 Security Hub 時,會向您收取使用 Security Hub 與之互動的其他服務 (例如AWS Config項目) 的使用費用。只有 Security Hub 標準啟動的AWS Config規則,就不會向您收取費用。

在您的免費試用期結束之前,您不需要支付使用 Security Hub 的費用。

注意

中國 (北京) 地區不支援安全中心免費試用。

檢視用量詳細資訊與預估成本

Security Hub 提供使用資訊,包括使用 Security Hub 的預估 30 天費用。使用情況詳細資訊包括免費試用的剩餘時間。使用資訊可協助您瞭解 Security Hub 在免費試用期結束後的費用。免費試用期結束後,也可以使用使用信息。

若要顯示使用資訊 (主控台)

  1. 開啟AWS安全中心主控台,網址為 https://console.aws.amazon.com/securityhub/

  2. 在功能窗格中,選擇 [設定] 下的 [使用]。

預估的每月費用是根據您帳戶的 Security Hub 使用量,以進行 30 天期間預計的發現項目和安全檢查。

使用資訊和估計費用僅適用於目前帳戶和目前區域。在彙總區域中,使用量資訊和預估成本不包含連結的區域。如需連結區域的更多資訊,請參閱跨區域彙總的運作方式

定價詳情

如需 Security Hub 如何針對擷取的發現項目和安全性檢查收費用的詳細資訊,請參閱 Security Hub 定價