啟用和設定 AWS Config Security Hub CSPM - AWS Security Hub
啟用和設定 之前的考量事項 AWS Config在 中記錄資源 AWS Config啟用和設定的方法 AWS ConfigConfig.1 控制項產生服務連結規則成本考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和設定 AWS Config Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) 使用 AWS Config 規則來執行安全檢查並產生大多數控制項的問題清單。 AWS Config 提供 AWS 資源組態的詳細檢視 AWS 帳戶。它使用規則來為您的資源和組態記錄器建立基準組態,以偵測特定資源是否違反規則的條件。有些規則稱為 AWS Config 受管規則,由 預先定義和開發 AWS Config。其他規則是 AWS Config Security Hub CSPM 開發的自訂規則。

AWS Config Security Hub CSPM 用於控制項的規則稱為服務連結規則。服務連結規則允許 AWS 服務 例如 Security Hub CSPM 在您的帳戶中建立 AWS Config 規則。

若要在 Security Hub CSPM 中接收控制項問題清單,您必須在 AWS Config 帳戶中啟用 ,並開啟已啟用控制項評估的資源記錄。此頁面說明如何 AWS Config 為 Security Hub CSPM 啟用 ,並開啟資源記錄。

啟用和設定 之前的考量事項 AWS Config

若要在 Security Hub CSPM 中接收控制調查結果,您的帳戶必須在 AWS Config 啟用 Security Hub CSPM 的每個 AWS 區域 中啟用 。如果您將 Security Hub CSPM 用於多帳戶環境, AWS Config 則必須在每個區域中為管理員帳戶和所有成員帳戶啟用 。

強烈建議您在啟用任何 Security Hub CSPM 標準和控制項 AWS Config 之前,先開啟 中的資源記錄。這可協助您確保控制問題清單的準確性。

若要在 中開啟資源記錄 AWS Config,您必須有足夠的許可,才能在連接到組態記錄器的 AWS Identity and Access Management (IAM) 角色中記錄資源。此外,請確定 中沒有 IAM 政策或 政策受管 AWS Organizations , AWS Config 以防止 擁有記錄 資源的許可。Security Hub CSPM 控制檢查會直接評估資源的組態,且不考慮 AWS Organizations 政策。如需 AWS Config 錄製的詳細資訊,請參閱《 AWS Config 開發人員指南》中的使用組態記錄器

如果您在 Security Hub CSPM 中啟用標準,但尚未啟用 AWS Config,Security Hub CSPM 會嘗試根據下列排程建立 AWS Config 規則:

  • 在您啟用標準的那一天。

  • 啟用標準的隔天。

  • 啟用標準後 3 天。

  • 啟用標準後 7 天,之後每 7 天持續一次。

如果您使用中央組態,Security Hub CSPM 也會在每次您將啟用一或多個標準與帳戶、組織單位 (OUs) 或根目錄建立關聯的組態政策時,嘗試建立服務連結 AWS Config 規則。

在 中記錄資源 AWS Config

啟用 時 AWS Config,您必須指定您希望 AWS Config 組態記錄器記錄 AWS 的資源。透過服務連結規則,組態記錄器可讓 Security Hub CSPM 偵測資源組態的變更。

若要讓 Security Hub CSPM 產生準確的控制調查結果,您必須開啟 中的 AWS Config 記錄,以取得對應於已啟用控制項的資源。它主要是啟用的控制項,具有需要資源記錄的變更觸發排程類型。有些具有定期排程類型的控制項也需要資源記錄。如需這些控制項及其對應資源的清單,請參閱 控制問題清單所需的 AWS Config 資源

警告

如果您未 AWS Config 正確設定 Security Hub CSPM 控制項的記錄,可能會導致不正確的控制調查結果,特別是在下列執行個體中:

  • 您永遠不會記錄特定控制項的資源,或是在建立該類型的資源之前停用資源的記錄。在這些情況下,您會收到問題控制項的問題WARNING清單,即使您在停用錄製之後,可能已建立控制項範圍內的資源。此WARNING調查結果是預設調查結果,不會實際評估資源的組態狀態。

  • 您可以停用特定控制項評估之資源的錄製。在此情況下,即使控制項未評估新的或更新的資源,Security Hub CSPM 仍會保留停用錄製之前產生的控制項調查結果。Security Hub CSPM 也會將調查結果的合規狀態變更為 WARNING。這些保留的問題清單可能無法準確反映資源的目前組態狀態。

根據預設, 會 AWS Config 記錄它在 AWS 區域 執行所在的 中探索的所有支援的區域資源。若要接收所有 Security Hub CSPM 控制調查結果,您還必須設定 AWS Config 來記錄全域資源。為了節省成本,我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總,則此區域應該是您的主區域。

在 中 AWS Config,您可以選擇持續記錄每日記錄資源狀態的變更。如果您選擇每日錄製,如果資源狀態發生變更, 會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更,則不會交付任何資料。這可能會延遲產生變更觸發控制項的 Security Hub CSPM 調查結果,直到 24 小時期間完成。

如需 AWS Config 錄製的詳細資訊,請參閱《 AWS Config 開發人員指南》中的錄製 AWS 資源

啟用和設定的方法 AWS Config

您可以透過下列任何方式啟用 AWS Config 和開啟資源記錄:

  • AWS Config 主控台 – 您可以使用 AWS Config 主控台 AWS Config 為 帳戶啟用 。如需說明,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用 主控台設定

  • AWS CLI 或 SDKs – 您可以使用 AWS Command Line Interface () AWS Config 為 帳戶啟用AWS CLI。如需說明,請參閱《 AWS Config 開發人員指南》中的AWS Config 使用 設定 AWS CLI 。 AWS 軟體開發套件 SDKs) 也適用於許多程式設計語言。

  • CloudFormation 範本 – 若要 AWS Config 為許多帳戶啟用 ,建議使用名為啟用 AWS Config的 AWS CloudFormation 範本。若要存取此範本,請參閱AWS CloudFormation 《 使用者指南》中的 AWS CloudFormation StackSet 範本範例

    根據預設,此範本會排除 IAM 全域資源的錄製。請確定您只開啟一個 AWS 區域 中的 IAM 全域資源記錄,以節省記錄成本。如果您已啟用跨區域彙總,這應該是您的 Security Hub CSPM 主區域。否則,可以是 Security Hub CSPM 在 中可用的任何區域,以支援記錄 IAM 全域資源。我們建議執行一個 StackSet,以記錄主要區域或其他所選區域中的所有資源,包括 IAM 全域資源。然後,執行第二個 StackSet 來記錄其他區域中 IAM 全域資源以外的所有資源。

  • GitHub 指令碼 – Security Hub CSPM 提供 GitHub 指令碼, AWS Config 可為跨區域的多個帳戶啟用 Security Hub CSPM 和 。如果您尚未與 整合 AWS Organizations,或者您有一些不屬於組織的成員帳戶,則此指令碼很有用。

如需詳細資訊,請參閱安全部落格上的下列AWS 部落格文章:AWS Config 最佳化 AWS Security Hub Cloud Security Posture Management (CSPM),以有效管理您的雲端安全狀態

Config.1 控制項

在 Security Hub CSPM 中,如果 AWS Config 停用 ,Config.1 控制項會在您的帳戶中產生FAILED問題清單。如果 AWS Config 已啟用但資源錄製未開啟,它也會在您的帳戶中產生FAILED問題清單。

如果 AWS Config 已啟用 且資源記錄已開啟,但已啟用控制項檢查的資源類型未開啟資源記錄,Security Hub CSPM 會為 Config.1 控制項產生FAILED問題清單。除了此FAILED調查結果之外,Security Hub CSPM 還會為已啟用的控制項和控制項檢查的資源類型產生WARNING調查結果。例如,如果您啟用 KMS.5 控制項且未開啟資源記錄 AWS KMS keys,Security Hub CSPM 會為 Config.1 控制項產生FAILED問題清單。Security Hub CSPM 也會產生 KMS.5 控制項和 KMS 金鑰WARNING的問題清單。

若要接收 Config.1 控制項的問題PASSED清單,請開啟對應至已啟用控制項之所有資源類型的資源記錄。同時停用組織不需要的控制項。這有助於確保您在安全控制檢查中沒有組態漏洞。它還有助於確保您收到有關設定錯誤資源的準確調查結果。

如果您是組織的委派 Security Hub CSPM 管理員,則必須為您的帳戶和成員帳戶正確設定 AWS Config 記錄。如果您使用跨區域彙總,則必須在主要區域和所有連結區域中正確設定 AWS Config 記錄。全域資源不需要記錄在連結的區域中。

產生服務連結規則

對於每個使用服務連結 AWS Config 規則的控制項,Security Hub CSPM 會在您的 AWS 環境中建立所需規則的執行個體。

這些服務連結規則專屬於 Security Hub CSPM。即使相同規則的其他執行個體已存在,Security Hub CSPM 也會建立這些服務連結規則。服務連結規則會在原始規則名稱securityhub之前新增 ,並在規則名稱之後新增唯一識別符。例如,對於 AWS Config 受管規則 vpc-flow-logs-enabled,服務連結規則名稱可能是 securityhub-vpc-flow-logs-enabled-12345

AWS Config 受管規則的數量有配額,可用於評估 controls. AWS Config rules,Security Hub CSPM 建立的規則不會計入這些配額。即使您已達到帳戶中受管規則的 AWS Config 配額,也可以啟用安全標準。若要進一步了解 AWS Config 規則的配額,請參閱《 AWS Config 開發人員指南》中的 的服務限制 AWS Config

成本考量

Security Hub CSPM 可以透過更新 AWS Config 組態項目來影響您的AWS::Config::ResourceCompliance組態記錄器成本。每次與 AWS Config 規則相關聯的 Security Hub CSPM 控制項變更合規狀態、啟用或停用,或具有參數更新時,都可以進行更新。如果您只將 AWS Config 組態記錄器用於 Security Hub CSPM,而且不將此組態項目用於其他用途,我們建議您關閉其中的錄製 AWS Config。這可以降低您的 AWS Config 成本。您不需要記錄安全檢查AWS::Config::ResourceCompliance,即可在 Security Hub CSPM 中運作。

如需與資源記錄相關的成本資訊,請參閱 AWS Security Hub Cloud Security Posture Management (CSPM) 定價AWS Config 定價