基础:使用AWS Security Hub

Security Hub

关于AWS Security Hub查看此官网介绍

Security Hub主要用于解决以下5个问题:

  1. 合规性简化管理。合规性对于许多AWS用户来说是至关重要的,因为他们在迁移到云端时面临着无数的内部和外部合规性要求。合规性还可以帮助确保账户和资源的正确配置,这是许多用户的首要痛点。

  2. 安全工具告警统一管理。AWS(和非AWS)用户通常使用几十个不同的安全工具。他们都有不同的数据格式,需要在分析之前进行解析和规范化。大型企业可以在这方面花费1000多个小时。

  3. 告警压缩。AWS用户每天可能面临少数到数万个警报,这取决于他们所使用的工具和他们的环境是如何配置的。这对于人来说,可能是无法处理的。

  4. 跨账号的统一管理。AWS用户可能使用了非常多的账号,这些账号如果希望统一管理起来需要有工具可以帮助实现。

  5. 缺少统一查看的界面。各种告警,资源的健康状态需要一个统一的展示控制台查看到。

开启AWS Security Hub完成自动安全检查

1-登录管理账号

管理账号是组织唯一的一个特权账号,也是注册AWS的第一个账号。可以在Organization中看到哪个账号是管理账号(带有management account标识的就是):

2-用管理账号打开Security Hub,配置代理管理账号

打开Security Hub的Settings,General配置代理管理账号:

3-登录安全账号,打开Security Hub

添加需要管理的其他多个账号,这样多个账号收集到的安全问题都集中在这个安全账号中查看和统一管理。

设置一个区域作为聚合区域收集其他区域的发现:

4-启用所有的安全标准

仅启用AWS Security Hub无法检测出结果,必须同时启用AWS Config才行。

在所有Region和Accounts开启AWS Config

•Security Hub使用service-linked AWS Config 规则实现大多数安全标准的检查。

•您对这些规则只有只读权;

•如果您订阅了这些规则所链接的AWS服务,您就不能编辑或删除这些规则。

•AWS Config不会对这些service-linked的规则收取费用。您只需通过Security Hub的定价模式收费。

•建议所有类型都开启config记录,至少需要开启以下资源类型:中国区的资源类型汇总Global Region资源类型汇总

可以参考博客Using delegated admin for AWS Config operations and aggregation进行配置。

1-管理账号启用config

登录您的管理账号,启用config

2-管理账号授权代理管理账号

替换里面的账号id为你的安全账号id,执行以下命令:

aws organizations enable-aws-service-access --service-principal config-multiaccountsetup.amazonaws.com

aws organizations register-delegated-administrator --account-id 999999999999 --service-principal config-multiaccountsetup.amazonaws.com

3-登录被授权的安全账号并创建聚合器

告警集成:汇总各类安全产品的告警

多个账号的安全发现也可以汇总在一起管理,之后统一采取行动进行批量管理,批量自动响应。

上一页安全合规自动审计下一页导出Security Hub的发现

最后更新于