Security Hub安全检查与自动修复

[Docs]https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html

[Docs] AWS Config resources required to generate control findings

自动修复解决方案:https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/solution-overview.html

上面是官网的文档,可以查看到每一个控制项的详细信息,可以通过控制项的ID进行检索,比如Account.1,详情中可以查看到检查所用到的config规则,默认参数设置,检查什么问题,为什么检查以及如何修复。

目前AWS Security Hub支持的安全标准包括:Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0, 和 Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1

下文是重新整理的每个控制项检查什么,为什么检查以及如何修复。以及增加了优先级的建议,对于一些修复起来比较简单,并且也比较重要的安全风险,会建议放在第一优先级修复。

优先级建议:

第一优先级——修复简单+(严重等级=严重/高)

第二优先级——修复有难度+(严重等级=严重/高)

第三优先级——严重等级=中

第四优先级——严重等级=低

开启Config

安全检查依赖于config,config是region级别的,所以需要收集资产的配置信息,检查资源的配置安全问题的都需要把资产所在的region的config开启。如果有多个账号,则每个账号的config也都需要开启。其中特别注意的是,config的设置要在管理账号中,子账号会继承管理账号的配置。

如果开启报错可以清理config后重新开启:

使用cli命令如下

aws configservice delete-configuration-recorder --configuration-recorder-name default --region <region-name>

上一页安全自动化合规审计与自动修复下一页安全合规自动审计

最后更新于