用 AWS Security Hub 集中管理安全态势 - 检测结果的汇聚与自动响应
将 GuardDuty/Inspector/Macie 的检测结果以 ASFF 格式汇聚,通过安全标准自动评估量化分数。还介绍 EventBridge 联动的自动修复。
Security Hub 概述
Security Hub 是汇聚 AWS 环境安全检测结果、集中管理安全态势的服务。将 GuardDuty 的威胁检测、Inspector 的漏洞扫描、Macie 的敏感数据检测、Config 的合规评估等多个安全服务的结果以 AWS Security Finding Format (ASFF) 统一管理。ASFF 是一种使用约 50 个字段结构化检测结果的 JSON 格式,通过将各服务不同的告警格式规范化,实现跨服务的优先级排序、过滤和趋势分析。
安全标准与自动响应
启用安全标准后,执行基于 Config 规则的自动检查。AWS Foundational Security Best Practices (FSBP) 涵盖 AWS 推荐的安全设置,自动评估 S3 存储桶的公共访问、RDS 加密、IAM 密码策略、CloudTrail 启用状态等。CIS AWS Foundations Benchmark v1.4.0/v3.0.0、NIST 800-53 Rev.5 和 PCI DSS v3.2.1 也可选择,可根据合规要求并行运行多个标准。安全分数以所有检查项的合规率百分比显示,可定量追踪改善进度。自动化规则可对特定检测结果设置状态自动变更、严重性覆盖或通过 EventBridge 发送通知,还可将噪声较多的低风险检测结果自动转为 SUPPRESSED 状态。
自动修复与集成
Security Hub 的自动修复通过定义检测结果的自定义操作,经 EventBridge 执行 Lambda 或 Systems Manager Automation。例如对「可公开访问的 S3 存储桶」检测结果,设置自动启用公共访问阻止的操作。AWS 以 Automated Security Response on AWS (ASR) 解决方案形式发布了模板,可通过一次 CloudFormation 部署即可部署对应 CIS/FSBP 主要控制项的修复 Runbook。与第三方安全工具 (Splunk、PagerDuty、Jira) 集成,将检测结果自动关联到事件管理工作流。Organizations 的委托管理员汇聚所有账户的检测结果,在组织级别追踪安全分数。区域汇聚将多个区域的检测结果集中到一个区域,简化管理。 要进一步深入了解安全管理,可参考Amazon 的专业书籍。
设计最佳实践与常见陷阱
要有效运营 Security Hub,首先将委托管理员账户设置为组织的安全专用账户,并开启成员账户自动启用。新账户创建时手动启用的方式容易遗漏。安全标准以 FSBP 为基础,仅在有法规要求时才添加 CIS 或 PCI DSS,这种配置在管理负担和成本之间取得最佳平衡。一律启用所有标准会产生重叠的控制项,同一资源显示多个 FAILED 状态,妨碍优先级判断。在组织内统一工作流状态 (NEW/NOTIFIED/RESOLVED/SUPPRESSED) 的使用规范并定义 SLA,防止检测结果沦为「看过就算」的形式化。常见陷阱包括:Config 记录器未启用的区域不会执行检查,分数显示为 100% 形成误判。需要在所有区域启用 Config,或通过 SCP 禁止在未使用区域创建资源。
与其他服务的对比
Security Hub 专注于检测结果的汇聚和态势管理,与 GuardDuty(威胁检测)、Inspector(漏洞管理)、Config(配置合规)形成互补关系。GuardDuty 实时分析 VPC Flow Logs/DNS 日志/CloudTrail 以检测异常,但不进行态势评分。Config 追踪各资源的配置变更并检测规则违规,但缺乏跨服务检测结果汇聚能力。Security Hub 将这些检测结果规范化为 ASFF 格式进行汇聚,提供组织级评分和工作流管理,充当「中央指挥中心」角色。与第三方 CSPM(云安全态势管理)工具相比,Security Hub 作为 AWS 原生服务无需额外代理、与 AWS 服务深度集成、按事件量计费可从小额开始,但在多云支持和使用专有策略语言创建高级自定义规则方面存在局限。
Security Hub 的费用
Security Hub 的费用由安全检查数 (Config 规则评估) 和检测结果导入数构成。安全检查前 100,000 次/月每次约 0.001 美元,之后适用梯度折扣。检测结果导入前 10,000 条/月免费,之后每条约 0.00003 美元。实际成本管理的要点包括:将启用的安全标准限制在必要范围内;注意 Config 规则评估在 Config 侧也会单独计费,存在容易混淆的双重收费;在不使用的区域禁用 Security Hub。通过 30 天免费试用确认实际成本后再正式导入。在 Organizations 所有账户仅启用 FSBP 的情况下,每个账户每月通常在几美元以内。
总结
Security Hub 是提供安全检测结果汇聚和安全标准自动评估的中央管理服务。通过 AWS Foundational Security Best Practices 和 CIS Benchmark 检查量化安全分数,通过 EventBridge 联动的自动修复操作和 ASR 解决方案降低运维负担。区域汇聚与 Organizations 集成提供多账户、多区域检测结果的集中管理,与第三方 SIEM 集成提高事件响应效率。