本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
組態政策如何在 Security Hub CSPM 中運作
委派的 AWS Security Hub Cloud Security Posture Management (CSPM) 管理員可以建立組態政策,以設定組織的 Security Hub CSPM、安全標準和安全控制。建立組態政策後,委派管理員可以將其與特定帳戶、組織單位 (OUs) 或根帳戶建立關聯。政策接著會在指定的帳戶、OUs 或根帳戶中生效。
如需中央組態優點及其運作方式的背景資訊,請參閱 了解 Security Hub CSPM 中的中央組態。
本節提供組態政策的詳細概觀。
政策考量事項
在 Security Hub CSPM 中建立組態政策之前,請考慮下列詳細資訊。
組態政策必須相關聯才能生效 – 建立組態政策後,您可以將其與一或多個帳戶、組織單位 (OUs) 或根帳戶建立關聯。組態政策可以透過直接應用程式或從父 OUs 繼承來與帳戶或 OU 建立關聯。
帳戶或 OU 只能與一個組態政策相關聯 – 為了防止設定衝突,帳戶或 OU 在任何指定時間只能與一個組態政策相關聯。或者,帳戶或 OU 可以自我管理。
組態政策已完成 – 組態政策提供設定的完整規格。例如,子帳戶無法接受來自某個政策的某些控制項設定,以及來自另一個政策的其他控制項設定。當您將政策與子帳戶建立關聯時,請確保政策指定您希望子帳戶使用的所有設定。
無法還原組態政策 – 將組態政策與帳戶或 OUs 建立關聯後,就無法還原組態政策。例如,如果您將停用 CloudWatch 控制項的組態政策與特定帳戶建立關聯,然後取消該政策的關聯,則會繼續在該帳戶中停用 CloudWatch 控制項。若要再次啟用 CloudWatch 控制項,您可以將帳戶與啟用控制項的新政策建立關聯。或者,您可以將帳戶變更為自我管理,並啟用帳戶中的每個 CloudWatch 控制項。
組態政策在您的主要區域和所有連結區域中生效 – 組態政策會影響主要區域和所有連結區域中的所有關聯帳戶。您無法建立僅在其中部分區域而非其他區域生效的組態政策。例外狀況是使用全域資源的控制項。Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。
2019 年 3 月 20 日當天或之後 AWS 推出的區域稱為選擇加入區域。您必須先為帳戶啟用此類區域,組態政策才會在該處生效。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需啟用選擇加入區域的指示,請參閱《帳戶管理參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些。 AWS
如果您的政策設定的主區域或一或多個連結區域中無法使用的控制項,Security Hub CSPM 會略過無法使用區域中的控制項組態,但在可使用控制項的區域中套用組態。您缺乏主區域或任何連結區域中無法使用之控制項的涵蓋範圍。
組態政策是 資源 – 組態政策具有 Amazon Resource Name (ARN) 和通用唯一識別符 (UUID)。ARN 使用以下格式:
arn:。自我管理組態沒有 ARN 或 UUID。自我管理組態的識別符為partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUIDSELF_MANAGED_SECURITY_HUB。
組態政策的類型
每個組態政策都會指定下列設定:
中央組態政策不包含 AWS Config 記錄器設定。您必須分別啟用 AWS Config 和開啟必要資源的記錄, Security Hub CSPM 才能產生控制問題清單。如需詳細資訊,請參閱啟用和設定 之前的考量事項 AWS Config。
如果您使用中央組態,Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域,您可以更新 AWS Config 記錄器設定,並關閉主要區域以外的所有區域中的全域資源記錄。
如果主區域不支援涉及全域資源的已啟用控制項,Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時,您無法涵蓋主要區域或任何連結區域中無法使用的控制項。
如需涉及全域資源的控制項清單,請參閱 使用全域資源的控制項。
建議的組態政策
第一次在 Security Hub CSPM 主控台中建立組態政策時,您可以選擇 Security Hub CSPM 建議的政策。
建議的政策可啟用 Security Hub CSPM、 AWS 基礎安全最佳實務 (FSBP) 標準,以及所有現有和新的 FSBP 控制項。接受參數的控制項會使用預設值。建議的政策適用於根 (所有帳戶和 OUs,包括新帳戶和現有帳戶)。為您的組織建立建議政策之後,您可以從委派管理員帳戶修改該政策。例如,您可以啟用其他標準或控制項,或停用特定的 FSBP 控制項。如需修改組態政策的指示,請參閱 更新組態政策。
自訂組態政策
委派管理員可以建立最多 20 個自訂組態政策,而不是建議的政策。您可以將單一自訂政策與整個組織建立關聯,或將不同的自訂政策與不同的帳戶和 OUs 建立關聯。對於自訂組態政策,您可以指定所需的設定。例如,您可以建立自訂政策,以啟用 FSBP、網際網路安全中心 (CIS) AWS Foundations Benchmark v1.4.0,以及這些標準中的所有控制項,但 Amazon Redshift 控制項除外。您在自訂組態政策中使用的精細程度取決於整個組織的預期安全涵蓋範圍。
注意
您無法將停用 Security Hub CSPM 的組態政策與委派管理員帳戶建立關聯。這類政策可以與其他帳戶建立關聯,但會略過與委派管理員的關聯。委派的管理員帳戶會保留其目前的組態。
建立自訂組態政策後,您可以更新組態政策以反映建議的組態,以切換至建議的組態政策。不過,在建立第一個政策之後,您看不到在 Security Hub CSPM 主控台中建立建議組態政策的選項。
透過應用程式和繼承的政策關聯
當您第一次選擇加入中央組態時,您的組織沒有關聯,並採取與選擇加入之前相同的行為。委派管理員接著可以在組態政策或自我管理行為與帳戶、OUs 或根帳戶之間建立關聯。關聯可以透過應用程式或繼承來建立。
從委派的管理員帳戶,您可以直接將組態政策套用至帳戶、OU 或根帳戶。或者,委派管理員可以直接將自我管理的指定套用至帳戶、OU 或根帳戶。
如果沒有直接應用程式,帳戶或 OU 會繼承具有組態政策或自我管理行為的最近父系設定。如果最接近的父項與組態政策相關聯,子項會繼承該政策,並且只能由主要區域的委派管理員進行設定。如果最近的父系是自我管理的,子系會繼承自我管理的行為,並能夠在每個行為中指定自己的設定 AWS 區域。
應用程式優先於繼承。換句話說,繼承不會覆寫委派管理員直接套用至帳戶或 OU 的組態政策或自我管理指定。
如果您直接將組態政策套用到自我管理帳戶,政策會覆寫自我管理的指定。帳戶會成為集中管理,並採用組態政策中反映的設定。
建議您將組態政策直接套用至根目錄。如果您將政策套用到根帳戶,則加入組織的新帳戶會自動繼承根政策,除非您將它們與不同的政策建立關聯或將其指定為自我管理。
指定時間只能有一個組態政策與帳戶或 OU 相關聯,無論是透過應用程式或繼承。這是為了防止設定衝突而設計。
下圖說明政策應用程式和繼承如何在中央組態中運作。
在此範例中,以綠色反白顯示的節點具有已套用的組態政策。以藍色反白顯示的節點沒有套用到它的組態政策。以黃色反白顯示的節點已指定為自我管理。每個帳戶和 OU 使用以下組態:
OU:Root (綠色) – 此 OU 使用套用到它的組態政策。
OU:Prod (藍色) – 此 OU 繼承來自 OU:Root 的組態政策。
OU:應用程式 (綠色) – 此 OU 使用已套用到它的組態政策。
帳戶 1 (綠色) – 此帳戶使用套用到它的組態政策。
帳戶 2 (藍色) – 此帳戶繼承來自 OU:Applications 的組態政策。
OU:Dev (黃色) – 此 OU 是自我管理的。
帳戶 3 (綠色) – 此帳戶使用套用到它的組態政策。
帳戶 4 (藍色) – 此帳戶繼承自 OU:Dev 的自我管理行為。
OU:Test (藍色) – 此帳戶繼承來自 OU:Root 的組態政策。
帳戶 5 (藍色) – 此帳戶繼承 OU:Root 的組態政策,因為其直接父系 OU:Test 未與組態政策相關聯。
測試組態政策
為了確保您了解組態政策的運作方式,建議您建立一個政策,並將其與測試帳戶或 OU 建立關聯。
測試組態政策
建立自訂組態政策,並確認 Security Hub CSPM 啟用、標準和控制項的指定設定正確無誤。如需說明,請參閱建立和關聯組態政策。
將組態政策套用至沒有任何子帳戶或 OU 的測試帳戶或 OUs。
確認測試帳戶或 OU 以您主要區域和所有連結區域中的預期方式使用組態政策。您也可以驗證組織中的所有其他帳戶和 OUs是否保持自我管理,並且可以在每個區域中變更自己的設定。
在單一帳戶或 OU 中測試組態政策之後,您可以將其與其他帳戶和 OUs 建立關聯。
