本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务管理标准:AWS Control Tower
本节提供有关服务管理标准的信息:AWS Control Tower.
什么是服务管理标准:AWS Control Tower?
服务管理标准:AWS Control Tower是一种服务管理标准,其AWS Control Tower管理支持一部分 Security Hub 控件。该标准专为 Sec AWS urity Hub CSPM 和. AWS Control Tower 它允许你通过服务配置 Security Hub CSPM 的侦探控件。AWS Control Tower
侦探控件可检测您 AWS 账户内部的资源不合规(例如,错误配置)。
提示
服务管理标准与 Sec AWS urity Hub CSPM 管理的标准不同。例如,您必须在托管服务中创建和删除服务托管标准。有关更多信息,请参阅 Security Hub CSPM 中的服务托管标准。
当你通过启用 Security Hub CSPM 控件时AWS Control Tower,Control Tower 还会在这些特定账户和区域中为你启用 Security Hub CSPM(如果尚未启用)。在 Security Hub CSPM 控制台和 API 中,您可以查看服务管理标准:AWS Control Tower以及其他 Security Hub CSPM 标准,前提是该标准已从中启用。AWS Control Tower
有关此标准的更多信息,请参阅《AWS Control Tower 用户指南》中的 Security Hub CSPM 控件。
创建标准
只有当你从中启用 Security Hub CSPM 控件时,该标准才在 Security Hub CSPM 中可用。AWS Control Tower AWS Control Tower使用以下方法之一首次启用适用的控件时创建标准:
-
AWS Control Tower控制台
-
AWS Control TowerAPI(调用
EnableControlAPI) -
AWS CLI(运行
enable-control命令)
当你通过启用 Security Hub CSPM 控件时AWS Control Tower,如果你尚未启用 Security Hub CSPM,还可以在这些特定的账户和区域中为你启用 S AWS Control Tower ecurity Hub CSPM。
要通过控制目录中的控件 ID 识别 Security Hub CSPM 控件,可以使用中的字段Implementation.Identifier。AWS Control Tower此字段映射到 Security Hub CSPM 控件 ID,可用于筛选特定的控件 ID。要检索中特定 Security Hub CSPM 控件(比如 “CodeBuild.1”)的控件元数据AWS Control Tower,可以使用 API:ListControls
aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'
您无法在 Security Hub CSPM 控制台、Security Hub CSPM API 中查看或访问此标准,也AWS CLI无法AWS Control Tower使用上述方法之一先设置和启用 S AWS Control Tower ecurity Hub CSPM 控件。
该标准仅在可用AWS 区域的地方可AWS Control Tower用。
在标准中启用和禁用控件
通过启用 Security Hub CSPM 控件AWS Control Tower并创建服务管理标准:AWS Control Tower标准后,您可以在 Security Hub CSPM 中查看该标准及其可用控件。
当 Security Hub CSPM 向 “服务管理标准:标准” 中添加新控件时,启用AWS Control Tower标准的客户不会自动启用这些控件。您应该使用以下方法之一启用和禁用标准的控件:AWS Control Tower
-
AWS Control Tower控制台
-
AWS Control TowerAPI(调用
EnableControl和DisableControlAPIs) -
AWS CLI(运行
enable-control和disable-control命令)
当您在中更改控件的启用状态时AWS Control Tower,更改也会反映在 Security Hub CSPM 中。
但是,在 Security Hub CSPM 中禁用已启用的控件会AWS Control Tower导致控制偏差。中的控件状态AWS Control Tower显示为Drifted。您可以通过使用 ResetEnabledControlAPI 重置处于偏移状态的控件,或者在控制AWS Control Tower台中选择 “重新注册 OU”,或者AWS Control Tower使用上述方法之一禁用并重新启用控件来解决这种偏差。
在中完成启用和禁用操作AWS Control Tower可帮助您避免控制偏差。
当您在中启用或禁用控件时AWS Control Tower,该操作将应用于受控制的账户和区域AWS Control Tower。如果您在 Security Hub CSPM 中启用和禁用控件(不建议在本标准中使用),则该操作仅适用于当前账户和区域。
注意
中央配置不能用于管理服务托管标准:AWS Control Tower. 在本标准中,您只能使用该AWS Control Tower服务来启用和禁用控件。
查看启用状态和控件状态
您可以使用以下方法之一查看控件的启用状态:
-
Security Hub CSPM 控制台、Security Hub CSPM API 或 AWS CLI
-
AWS Control Tower控制台
-
AWS Control Tower用于查看已启用控件列表的 API(调用
ListEnabledControlsAPI) -
AWS CLI查看已启用的控件列表(运行
list-enabled-controls命令)
除非您在 Security Hub CSPM 中AWS Control Tower明确启用该控件,否则您在Disabled中禁用的控件在 Security Hub CSPM 中的启用状态为。
Security Hub CSPM 根据控件调查发现的工作流状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息,请参阅 查看 Security Hub CSPM 中的控件的详细信息。
根据控制状态,Security Hub CSPM 计算服务管理标准的安全分数:。AWS Control Tower此分数仅在 Security Hub CSPM 中可用。此外,您只能在 Security Hub CSPM 中查看控件调查发现。中没有标准安全评分和控制结果AWS Control Tower。
注意
启用服务管理标准:的控件时AWS Control Tower,Security Hub CSPM 最多可能需要 18 小时才能为使用现有AWS Config服务关联规则的控件生成调查结果。如果您在 Security Hub CSPM 中启用了其他标准和控件,则可能已有服务相关规则。有关更多信息,请参阅 有关运行安全检查的计划。
删除标准
您可以使用以下方法之一禁用所有适用的控件,AWS Control Tower从而在中删除此服务托管标准:
-
AWS Control Tower控制台
-
AWS Control TowerAPI(调用
DisableControlAPI) -
AWS CLI(运行
disable-control命令)
禁用所有控件会删除 AWS Control Tower 中所有托管账户和受管辖区域中的标准。AWS Control Tower删除中的标准会将其从 Security Hub CSPM 控制台的 “标准” 页面中删除,并且您将无法再使用 Security Hub CSPM API 或访问该标准。AWS CLI
注意
在 Security Hub CSPM 中禁用标准中的所有控件并不能禁用或删除该标准。
禁用 Security Hub CSPM 服务会移除服务管理标准:AWS Control Tower以及您已启用的任何其他标准。
服务管理标准的查找字段格式:AWS Control Tower
创建服务管理标准:AWS Control Tower并对其启用控制后,您将开始在 Security Hub CSPM 中收到控制结果。Security Hub CSPM 以 AWS安全调查结果格式 (ASFF) 报告控件调查发现。以下是本标准的 Amazon 资源名称(ARN)的 ASFF 值,以及 GeneratorId:
-
标准 ARN——
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
有关服务托管标准:的调查结果示例AWS Control Tower,请参阅控件调查发现样本。
适用于服务管理标准的控制措施:AWS Control Tower
服务管理标准:AWS Control Tower支持AWS基础安全最佳实践 (FSBP) 标准中的一部分控件。选择一个控件以查看有关该控件的信息,包括失败的调查发现的补救步骤。
要查看支持哪些 Security Hub CSPM 控件AWS Control Tower,您可以使用以下方法之一:
-
AWS控制目录控制台,您可以在其中进行筛选
“Control owner =AWSSecurity Hub” -
AWS控制目录 API(调用
ListControlsAPI),其中包含Implementations要检查Types的过滤器AWS::SecurityHub::SecurityControl -
AWS CLI(运行
list-controls命令),并使用过滤器Implementations。示例 CLI 命令:aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'
通过控制塔标准启用 Security Hub CSPM 控件的区域限制可能与底层控件的区域限制不符。
在 Security Hub CSPM 中,如果在您的账户中关闭了合并控制结果,则生成的调查结果中的ProductFields.ControlId字段将使用基于标准的控制 ID。基于标准的对照 ID 的格式为 CT。 ControlId(例如,CT。 CodeBuild.1)。
有关此标准的更多信息,请参阅《AWS Control Tower 用户指南》中的 Security Hub CSPM 控件。
