禁用安全标准 - AWSSecurity Hub
在多个账户中禁用标准和 AWS 区域在单个账户中禁用标准版和 AWS 区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用安全标准

在 Security Hub CSPM 中禁用AWS安全标准时,会出现以下情况:

  • 除非与当前已启用的其他标准相关联,否则适用于该标准的所有控件均已禁用。

  • 不再对已禁用控件执行安全检查,并且不会为已禁用控件生成其他调查发现。

  • 已禁用控件的现有调查发现将在大约 3‐5 天后自动存档。

  • AWS ConfigSecurity Hub CSPM 为禁用的控件创建的规则将被删除。

通常会在禁用标准后的几分钟内删除相应的AWS Config规则。但是,这可能需要更长时间。如果删除规则的第一个请求失败,则 Security Hub CSPM 每 12 小时重试一次。但是,如果您禁用了 Security Hub CSPM 或没有启用任何其他标准,则 Security Hub CSPM 无法再次尝试,这意味着它无法删除规则。如果发生这种情况并且您需要删除规则,请联系AWS 支持。

在多个账户中禁用标准和 AWS 区域

要在多个账户中禁用安全标准AWS 区域,请使用集中配置。通过中心配置,受委派的 Security Hub CSPM 管理员可以创建 Security Hub CSPM 配置策略,以禁用一个或多个标准。然后,管理员可以将配置策略与个人账户、组织单位 (OUs) 或根账户相关联。配置策略会影响主区域(也称为聚合区域)以及所有关联区域。

配置策略提供自定义选项。例如,您可以选择在一个 OU 中禁用支付卡行业数据安全标准(PCI DSS)。对于另一个 OU,您可以选择禁用 PCI DSS 和美国国家标准与技术研究院(NIST)SP 800-53 Rev. 5 标准。有关如何创建启用或禁用您指定的各个标准的配置策略的信息,请参阅创建和关联配置策略

注意

Security Hub CSPM 管理员可以使用配置策略禁用除 AWS Control Tower 服务托管标准之外的任何标准。要禁用此标准,管理员必须AWS Control Tower直接使用。他们还必须使用AWS Control Tower此标准为集中管理的账户禁用或启用个人控件。

如果您希望某些账户为自己的账户配置或禁用标准,Security Hub CSPM 管理员可以将这些账户指定为自行管理账户。自行管理账户必须在每个区域单独禁用标准。

在单个账户中禁用标准版和 AWS 区域

如果不使用中心配置或您有自行管理账户,则无法使用配置策略在多个账户或 AWS 区域中集中禁用安全标准。但是,您可以在单个账户和区域中禁用标准。您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 执行此操作。

Security Hub CSPM console

按照以下步骤使用 Security Hub CSPM 控制台在一个账户和区域中禁用标准。

在一个账户和区域中禁用标准

  1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 使用页面右上角的选择AWS 区域器,选择要禁用标准的区域。

  3. 在导航窗格中,选择安全标准

  4. 在要禁用的标准的部分中,选择禁用标准

要在其他区域禁用标准,请在每个其他区域重复上述步骤。

Security Hub CSPM API

要在单个账户和区域中以编程方式禁用标准,请使用 BatchDisableStandards 操作。或者,如果您使用的是 AWS Command Line Interface (AWS CLI),请运行该batch-disable-standards命令。

在您的请求中,使用 StandardsSubscriptionArns 参数指定要禁用的标准的 Amazon 资源名称(ARN)。如果您使用的是AWS CLI,请使用standards-subscription-arns参数指定 ARN。此外,请指定您的请求适用的区域。例如,以下命令禁用账户 () AWS 的基础安全最佳实践 (FSBP) 标准:123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

美国东部(弗吉尼亚北部)地区账户的 FSBP 标准的 ARN 在哪里arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0us-east-1是要禁用该标准的区域。

要获取标准的 ARN,您可以使用 GetEnabledStandards 操作。此操作会检索有关您账户中当前已启用的标准的信息。如果您使用的是AWS CLI,则可以运行get-enabled-standards命令来检索此信息。

禁用某个标准后,Security Hub CSPM 将开始执行任务以在账户和指定的区域中禁用该标准。这包括禁用适用于该标准的所有控件。要监控这些任务的状态,您可以检查账户和区域中该标准的状态