AWS Security Hub
聚合和优先排序来自多个 AWS 安全服务和第三方工具的安全发现,提供统一安全态势视图的服务
概述
AWS Security Hub 是一项聚合来自 GuardDuty、Inspector、Macie、Firewall Manager、IAM Access Analyzer 等 AWS 安全服务以及第三方安全工具的发现,提供统一安全态势视图的服务。基于 CIS AWS Foundations Benchmark、AWS Foundational Security Best Practices 等安全标准自动评估账户配置,以安全评分量化合规状态。通过 ASFF(AWS Security Finding Format)标准化所有发现的格式,实现跨工具的统一管理和自动化响应。
安全标准与合规评估
Security Hub 提供多种安全标准的自动化合规检查。AWS Foundational Security Best Practices 涵盖 AWS 服务的安全最佳实践。CIS AWS Foundations Benchmark 基于 CIS(Center for Internet Security)的行业标准。PCI DSS 标准适用于处理支付卡数据的环境。每个标准包含数十到数百个控制项,Security Hub 通过 Config 规则自动评估每个控制项的合规状态。安全评分(0-100%)量化整体合规程度,按标准和控制项分别显示。失败的控制项附带修复指南,说明如何使资源合规。自定义安全标准允许组织添加内部安全要求的检查。
发现聚合与自动化响应
Security Hub 将来自不同来源的发现标准化为 ASFF 格式,包含严重性、资源信息、修复建议等字段。发现可按严重性(CRITICAL、HIGH、MEDIUM、LOW、INFORMATIONAL)过滤和排序。洞察(Insights)是预定义或自定义的发现分组,如「公开暴露的 S3 存储桶」或「未加密的 EBS 卷」。自动化规则在发现匹配条件时自动执行操作:更新发现状态、添加注释、发送到 EventBridge。EventBridge 集成实现复杂的自动化响应——例如检测到 CRITICAL 发现时触发 Lambda 自动修复或通知安全团队。跨区域聚合将所有区域的发现汇总到单一区域,简化多区域安全管理。
多账户部署与运维最佳实践
Organizations 集成允许委托管理员账户集中管理所有成员账户的 Security Hub。新账户加入组织时自动启用 Security Hub 和指定的安全标准。运维最佳实践包括:启用所有相关安全标准、配置跨区域聚合、设置自动化规则处理常见发现、定期审查安全评分趋势。对于大量发现的管理,建议先处理 CRITICAL 和 HIGH 严重性,使用抑制规则(Suppression Rules)隐藏已知且已接受风险的发现。与 SIEM(如 Splunk、Datadog)集成通过 EventBridge 或 S3 导出实现,将 AWS 安全发现纳入组织的整体安全运营中心(SOC)工作流。