安全态势管理 - 用 AWS Security Hub 实现统一安全监控基础设施
解析 AWS Security Hub 的统一安全监控与 GuardDuty 联动的威胁检测自动化。介绍安全最佳实践合规状况的可视化和多账户环境的安全治理。
安全态势管理的重要性与 Security Hub
云环境的安全管理中,整合多个安全服务的检测结果、全面把握组织整体安全状态很重要。AWS Security Hub 是集中汇聚和管理 AWS 环境全体安全告警和合规状况的服务。将 GuardDuty、Inspector、Macie、Firewall Manager、IAM Access Analyzer 等多个 AWS 安全服务的检测结果以 AWS Security Finding Format (ASFF) 标准化,在统一仪表板中可视化。基于安全标准 (AWS Foundational Security Best Practices、CIS AWS Foundations Benchmark、PCI DSS) 的自动检查,持续检测配置不当和偏离最佳实践的情况。
安全标准与自动合规检查
Security Hub 提供基于多个安全标准的自动检查。AWS Foundational Security Best Practices (FSBP) 涵盖 AWS 推荐的安全设置,自动评估 S3 存储桶公共访问、EBS 卷加密、IAM 密码策略、VPC 流日志启用等数百个检查项。CIS AWS Foundations Benchmark 是 Center for Internet Security 制定的行业标准基准,系统评估 AWS 环境的安全设置。每个检查项附有安全分数,可用数字把握组织整体的安全态势。与 AWS Config 规则联动,实时评估资源配置变更,即时检测不合规设置。以下是用 AWS CLI 确认 Security Hub 安全分数的示例。 ```bash aws securityhub get-findings \ --filters '{"ComplianceStatus": [{"Value": "FAILED", "Comparison": "EQUALS"}]}' \ --max-items 10 \ --region ap-northeast-1 ``` 通过自定义操作,可构建对特定检测结果的自动修复工作流。
GuardDuty 联动的威胁检测统一
GuardDuty 的威胁检测结果自动汇聚到 Security Hub,可与其他安全服务的检测结果统一分析。将 GuardDuty 检测的非法 API 调用、加密货币挖矿、与 C&C 服务器通信等威胁信息在 Security Hub 仪表板中按严重度分类,可按优先级响应。通过与 EventBridge 联动,将特定严重度以上的检测结果自动路由到 Lambda 函数,执行被入侵 IAM 凭证的失效、安全组修正、通过 SNS 通知安全团队等自动响应。Security Hub 的洞察功能可进行检测结果的趋势分析、识别最受影响的资源、可视化攻击模式。与第三方安全工具 (Splunk、PagerDuty、Jira) 集成,可将安全告警纳入现有事件管理工作流。 要把握安全监控入门的全貌,可参考相关书籍 (Amazon)。
多账户环境的安全治理
Security Hub 与 AWS Organizations 集成,可集中管理多账户环境全体的安全态势。从管理员账户启用所有成员账户的 Security Hub 并汇聚检测结果。跨区域汇聚将多个区域的检测结果统一到单一区域,把握全球安全状况。通过组织整体的安全分数,可即时识别哪些账户或区域集中了安全风险。与 AWS Firewall Manager 联动,将 WAF 规则、安全组、Network Firewall 策略一次性应用于整个组织,强制安全基线。以下是用 Organizations 集成在所有成员账户启用 Security Hub 的 CLI 示例。 ```bash aws securityhub create-members \ --account-details '[{"AccountId": "111122223333"}, {"AccountId": "444455556666"}]' \ --region ap-northeast-1 aws securityhub update-organization-configuration \ --auto-enable \ --region ap-northeast-1 ``` 通过定期自动生成安全报告,提高向管理层报告和合规审计的效率。
Security Hub 的费用
安全检查前 100,000 次/月每次约 0.001 美元。检测结果导入前 10,000 条/月免费,之后每条约 0.00003 美元。将启用的安全标准限制在必要范围内,不要一律启用所有标准来管理检查数。通过 30 天免费试用确认实际成本后再正式导入。
总结 - 统一安全监控基础设施的构建
AWS Security Hub 是集中管理 AWS 环境全体安全告警和合规状况的统一安全监控基础设施。将基于多个安全标准的自动检查、GuardDuty 威胁检测统一、EventBridge 自动响应、Organizations 多账户管理相结合,实现全面的安全态势管理。安全分数的定量评估和持续改善循环,提升组织整体的安全水平。