本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSSecurity Hub CSPM 簡介
AWSSecurity Hub Cloud Security Posture Management (AWSSecurity Hub CSPM) 可讓您全面檢視 中的安全狀態,AWS並協助您根據安全產業標準和最佳實務評估AWS環境。
AWSSecurity Hub CSPM 會跨 AWS 帳戶和支援的第三方產品收集安全資料AWS 服務,並協助您分析安全趨勢並識別最高優先順序的安全問題。
為了協助您管理組織的安全狀態,Security Hub CSPM 支援多個安全標準。其中包括 制定AWS的基礎安全最佳實務 (FSBP) 標準AWS,以及外部合規架構,例如網際網路安全中心 (CIS)、支付卡產業資料安全標準 (PCI DSS) 和國家標準技術研究所 (NIST)。每個標準都包含數個安全控制,每個都代表安全最佳實務。Security Hub CSPM 會針對安全控制執行檢查,並產生控制調查結果,協助您根據安全最佳實務評估合規性。
除了產生控制調查結果之外,Security Hub CSPM 也會接收其他 的調查結果AWS 服務,例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie,以及支援的第三方產品。這可讓您將單一窗格放入各種與安全相關的問題中。您也可以將 Security Hub CSPM 調查結果傳送至其他 AWS 服務和支援的第三方產品。
Security Hub CSPM 提供自動化功能,可協助您分類和修復安全問題。例如,您可以使用自動化規則,在安全檢查失敗時自動更新關鍵問題清單。您也可以利用與 Amazon EventBridge 的整合來觸發對特定調查結果的自動回應。
主題
Security Hub CSPM 的優點
以下是 Security Hub CSPM 協助您監控整個AWS環境合規性和安全性狀態的一些重要方式。
- 可讓您更輕易地收集和排列問題清單的優先順序
Security Hub CSPM 可減少從整合和AWS合作夥伴產品收集AWS 服務和排定跨帳戶安全調查結果優先順序的精力。Security Hub CSPM 會使用標準調查結果格式 AWS(ASFF) 來處理調查結果資料。這樣就不需要以多種格式管理來自不同來源的問題清單。Security Hub CSPM 也會跨提供者關聯問題清單,以協助您排定最重要問題清單的優先順序。
- 根據最佳實務和標準自動進行安全檢查
Security Hub CSPM 會根據AWS最佳實務和業界標準,自動執行持續的帳戶層級組態和安全檢查。Security Hub CSPM 使用這些檢查的結果來計算安全分數,並識別需要注意的特定帳戶和資源。
- 合併帳戶與提供者問題清單的檢視
Security Hub CSPM 會整合您跨帳戶和提供者產品的安全性調查結果,並在 Security Hub CSPM 主控台上顯示結果。您也可以透過 Security Hub CSPM API AWS CLI或 SDKs 擷取問題清單。透過對目前安全狀態的整體檢視,您可以發現趨勢、識別潛在問題,並採取必要的修補步驟。
- 能夠自動化問題清單更新和修復
您可以建立自動化規則,以根據您的定義條件修改或隱藏問題清單。Security Hub CSPM 也支援與 Amazon EventBridge 整合。若要自動修復特定問題清單,您可以定義產生問題清單時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。
存取 Security Hub CSPM
Security Hub CSPM 適用於大多數 AWS 區域。如需目前可使用 Security Hub CSPM 的區域清單,請參閱《》中的 AWSSecurity Hub CSPM 端點和配額AWS 一般參考。如需有關管理AWS 區域 的資訊AWS 帳戶,請參閱《 AWS Account Management參考指南》中的指定AWS 區域您的帳戶可以使用哪些 。
在每個區域中,您可以透過下列任何方式存取和使用 Security Hub CSPM:
- Security Hub CSPM 主控台
AWS 管理主控台是以瀏覽器為基礎的界面,可用來建立和管理AWS資源。作為該主控台的一部分,Security Hub CSPM 主控台可讓您存取 Security Hub CSPM 帳戶、資料和資源。您可以使用 Security Hub CSPM 主控台來執行 Security Hub CSPM 任務:檢視問題清單、建立自動化規則、建立彙總區域等。
- Security Hub CSPM API
-
Security Hub CSPM API 可讓您以程式設計方式存取 Security Hub CSPM 帳戶、資料和資源。使用 API,您可以將 HTTPS 請求直接傳送到 Security Hub CSPM。如需 API 的相關資訊,請參閱 AWS Security HubAPI 參考。
- AWS CLI
-
使用 AWS CLI,您可以在系統的命令列執行命令,以執行 Security Hub CSPM 任務。在某些情況下,使用命令列比使用主控台更快、更方便。如果您想要建置執行任務的指令碼,命令列也很有用。如需安裝和使用 的詳細資訊AWS CLI,請參閱AWS Command Line Interface《 使用者指南》。
- AWSSDKs
-
AWS提供包含程式庫和範本程式碼SDKs,適用於各種程式設計語言和平台,例如 Java、Go、Python、C++ 和 .NET。SDKs以您偏好的語言提供對 Security Hub CSPM 和其他 AWS 服務的便利、程式設計存取。他們也會處理任務,例如密碼編譯簽署請求、管理錯誤,以及自動重試請求。如需安裝和使用 AWSSDKs的詳細資訊,請參閱要建置的工具AWS
。
重要
Security Hub CSPM 只會偵測和合併啟用 Security Hub CSPM 後產生的調查結果。它不會追溯偵測和合併在您啟用 Security Hub CSPM 之前產生的安全調查結果。
Security Hub CSPM 只會在您帳戶中啟用 Security Hub CSPM 的區域中接收和處理問題清單。
若要完全符合 CIS AWSFoundations Benchmark 安全檢查,您必須在所有支援AWS的區域啟用 Security Hub CSPM。
相關服務
若要進一步保護您的AWS環境,請考慮使用其他 AWS 服務搭配 Security Hub CSPM。有些 AWS 服務會將問題清單傳送至 Security Hub CSPM,而 Security Hub CSPM 會將問題清單標準化為標準格式。有些 AWS 服務也可以從 Security Hub CSPM 接收問題清單。
如需傳送或接收 Security Hub CSPM 調查結果AWS 服務的其他 清單,請參閱 AWS 服務與 Security Hub CSPM 整合。
Security Hub CSPM 使用來自 的服務連結規則AWS Config來執行大多數控制項的安全檢查。控制項是指特定 AWSAWS 服務和資源。如需 Security Hub CSPM 控制項的清單,請參閱 Security Hub CSPM 的控制項參考。您必須在 AWS ConfigSecurity Hub CSPM 的 中啟用AWS Config並記錄資源,以產生大多數的控制問題清單。如需詳細資訊,請參閱啟用和設定 之前的考量事項 AWS Config。
Security Hub CSPM 免費試用和定價
當您AWS 帳戶第一次在 中啟用 Security Hub CSPM 時,該帳戶會自動註冊 30 天的 Security Hub CSPM 免費試用。
當您在免費試用期間使用 Security Hub CSPM 時,您需要支付使用 Security Hub CSPM 互動的其他 服務的費用,例如AWS Config項目。對於僅由 Security Hub CSPM 安全標準啟用的AWS Config規則,您不需要付費。
在免費試用結束之前,您無需支付使用 Security Hub CSPM 的費用。
檢視用量詳細資訊與預估成本
Security Hub CSPM 提供用量資訊,包括使用 Security Hub CSPM 的預估 30 天成本。用量詳細資訊包含免費試用的剩餘時間。用量資訊可協助您了解免費試用結束後,Security Hub CSPM 成本可能是多少。免費試用結束後,也會提供用量資訊。
顯示用量資訊 (主控台)
開啟位於 https://https://console.aws.amazon.com/securityhub/
的 AWSSecurity Hub CSPM 主控台。 -
在導覽窗格中,選擇設定下的用量。
估計每月成本是根據您帳戶的 Security Hub CSPM 用量,以預測 30 天內的問題清單和安全檢查。
用量資訊和預估成本僅適用於目前帳戶和目前區域。在彙總區域中,用量資訊和預估成本不包含連結的區域。如需連結區域的詳細資訊,請參閱 彙總的資料類型。
定價詳情
如需 Security Hub CSPM 如何針對擷取的問題清單和安全檢查收費的詳細資訊,請參閱 Security Hub CSPM 定價
