什麼是 AWS Security Hub CSPM? - AWS Security Hub
Security Hub CSPM 的優點存取 Security Hub CSPM相關服務Security Hub CSPM 免費試用、用量和定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Security Hub CSPM?

AWS Security Hub Cloud Security Posture Management (CSPM) 為您提供 中安全狀態的完整檢視, AWS 並協助您根據安全產業標準和最佳實務來評估您的 AWS 環境。

Security Hub CSPM 會跨 AWS 帳戶和支援的第三方產品收集安全資料 AWS 服務,並協助您分析安全趨勢並識別最高優先順序的安全問題。

為了協助您管理組織的安全狀態,Security Hub CSPM 支援多個安全標準。其中包括 制定 AWS 的基礎安全最佳實務 (FSBP) 標準 AWS,以及外部合規架構,例如網際網路安全中心 (CIS)、支付卡產業資料安全標準 (PCI DSS) 和國家標準技術研究所 (NIST)。每個標準都包含數個安全控制,每個都代表安全最佳實務。Security Hub CSPM 會針對安全控制執行檢查,並產生控制調查結果,協助您根據安全最佳實務評估合規性。

除了產生控制調查結果之外,Security Hub CSPM 也會接收其他 的調查結果 AWS 服務,例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie,以及支援的第三方產品。這可讓您將單一窗格放入各種與安全相關的問題中。您也可以將 Security Hub CSPM 調查結果傳送至其他 AWS 服務 和支援的第三方產品。

Security Hub CSPM 提供自動化功能,可協助您分類和修復安全問題。例如,您可以使用自動化規則,在安全檢查失敗時自動更新關鍵問題清單。您也可以利用與 Amazon EventBridge 的整合來觸發對特定調查結果的自動回應。

Security Hub CSPM 的優點

以下是 Security Hub CSPM 協助您監控整個 AWS 環境合規性和安全性狀態的一些重要方式。

可讓您更輕易地收集和排列問題清單的優先順序

Security Hub CSPM 可減少從整合和 AWS 合作夥伴產品收集 AWS 服務 和排定跨帳戶安全調查結果優先順序的精力。Security Hub CSPM 會使用標準調查結果格式 AWS (ASFF) 來處理調查結果資料。這不需要以多種格式管理來自不同來源的問題清單。Security Hub CSPM 也會跨提供者關聯問題清單,以協助您排定最重要問題清單的優先順序。

根據最佳實務和標準自動進行安全檢查

Security Hub CSPM 會根據 AWS 最佳實務和產業標準,自動執行持續的帳戶層級組態和安全檢查。Security Hub CSPM 使用這些檢查的結果來計算安全分數,並識別需要注意的特定帳戶和資源。

合併帳戶與提供者問題清單的檢視

Security Hub CSPM 會整合您跨帳戶和提供者產品的安全性調查結果,並在 Security Hub CSPM 主控台上顯示結果。您也可以透過 Security Hub CSPM API AWS CLI或 SDKs 擷取問題清單。透過對目前安全狀態的全面檢視,您可以發現趨勢、識別潛在問題,並採取必要的修復步驟。

能夠自動化問題清單更新和修復

您可以建立自動化規則,以根據您的定義條件修改或隱藏問題清單。Security Hub CSPM 也支援與 Amazon EventBridge 整合。若要自動修復特定問題清單,您可以定義產生問題清單時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。

存取 Security Hub CSPM

Security Hub CSPM 適用於大多數 AWS 區域。如需目前可使用 Security Hub CSPM 的區域清單,請參閱《》中的 AWS Security Hub Cloud Security Posture Management (CSPM) 端點和配額AWS 一般參考。如需有關管理 AWS 區域 的資訊 AWS 帳戶,請參閱《 AWS 帳戶管理 參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些

在每個區域中,您可以透過下列任何方式存取和使用 Security Hub CSPM:

Security Hub CSPM 主控台

AWS Management Console 是以瀏覽器為基礎的界面,可用來建立和管理 AWS 資源。作為該主控台的一部分,Security Hub CSPM 主控台可讓您存取 Security Hub CSPM 帳戶、資料和資源。您可以使用 Security Hub CSPM 主控台來執行 Security Hub CSPM 任務:檢視問題清單、建立自動化規則、建立彙總區域等。

Security Hub CSPM API

Security Hub CSPM API 可讓您以程式設計方式存取 Security Hub CSPM 帳戶、資料和資源。使用 API,您可以將 HTTPS 請求直接傳送到 Security Hub CSPM。如需 API 的相關資訊,請參閱 AWS Security Hub Cloud Security Posture Management (CSPM) API 參考

AWS CLI

使用 AWS CLI,您可以在系統的命令列執行命令,以執行 Security Hub CSPM 任務。在某些情況下,使用命令列比使用主控台更快、更方便。如果您想要建置執行任務的指令碼,命令列也很有用。如需安裝和使用 的詳細資訊 AWS CLI,請參閱AWS Command Line Interface 《 使用者指南》

AWS SDKs

AWS 提供 SDKs,其中包含適用於各種程式設計語言和平台的程式庫和範本程式碼,例如 Java、Go、Python、C++ 和 .NET。SDKs以您偏好的語言提供對 Security Hub CSPM 和其他 AWS 服務 的便利、程式設計存取。它們也會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 AWS SDKs的資訊,請參閱要建置的工具 AWS

重要

Security Hub CSPM 只會偵測和合併啟用 Security Hub CSPM 後產生的問題清單。它不會追溯偵測和合併在您啟用 Security Hub CSPM 之前產生的安全調查結果。

Security Hub CSPM 只會在您帳戶中啟用 Security Hub CSPM 的區域中接收和處理問題清單。

若要完全符合 CIS AWS Foundations Benchmark 安全檢查,您必須在所有支援 AWS 的區域啟用 Security Hub CSPM。

若要進一步保護您的 AWS 環境,請考慮使用其他 AWS 服務 搭配 Security Hub CSPM。有些 AWS 服務 會將問題清單傳送至 Security Hub CSPM,而 Security Hub CSPM 會將問題清單標準化為標準格式。有些 AWS 服務 也可以從 Security Hub CSPM 接收問題清單。

如需傳送或接收 Security Hub CSPM 調查結果 AWS 服務 的其他 清單,請參閱 AWS 服務 與 Security Hub CSPM 整合

Security Hub CSPM 使用來自 的服務連結規則 AWS Config 來執行大多數控制項的安全檢查。控制項是指特定 AWS AWS 服務 和資源。如需 Security Hub CSPM 控制項的清單,請參閱Security Hub CSPM 的控制項參考。您必須在 AWS Config Security Hub CSPM 的 中啟用 AWS Config 並記錄資源,以產生大多數的控制問題清單。如需詳細資訊,請參閱啟用和設定 之前的考量事項 AWS Config

Security Hub CSPM 免費試用和定價

當您 AWS 帳戶 第一次在 中啟用 Security Hub CSPM 時,該帳戶會自動註冊 30 天的 Security Hub CSPM 免費試用版。

當您在免費試用期間使用 Security Hub CSPM 時,您需要支付使用 Security Hub CSPM 互動的其他 服務的費用,例如 AWS Config 項目。對於僅由 Security Hub CSPM 安全標準啟用的 AWS Config 規則,您不需要付費。

在免費試用結束之前,您無需支付使用 Security Hub CSPM 的費用。

檢視用量詳細資訊與預估成本

Security Hub CSPM 提供用量資訊,包括使用 Security Hub CSPM 的預估 30 天成本。用量詳細資訊包含免費試用的剩餘時間。用量資訊可協助您了解免費試用結束後,Security Hub CSPM 成本可能是多少。免費試用結束後,也會提供用量資訊。

顯示用量資訊 (主控台)

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

  2. 在導覽窗格中,選擇設定下的用量

估計的每月成本是根據您帳戶的 Security Hub CSPM 用量,以預測 30 天內的問題清單和安全檢查。

用量資訊和預估成本僅適用於目前帳戶和目前區域。在彙總區域中,用量資訊和預估成本不包含連結的區域。如需連結區域的詳細資訊,請參閱 彙總的資料類型

定價詳情

如需 Security Hub CSPM 如何針對擷取的問題清單和安全檢查收費的詳細資訊,請參閱 Security Hub CSPM 定價