云安全专家 Amazon Web Services Security Hub 的最新实践

发布于: Aug 8, 2022

本文将介绍云安全专家 Amazon Web Services Security Hub 的最新实践，如何帮助企业在高效与安全之间获得平衡。

1. 使用标签实现访问控制与成本分配

SecurityHub::Hub 资源代表的是 Amazon Web Services 账户中各区域所对应的 Amazon Web Services Security Hub 服务实现。Security Hub 允许您以标签的形式将元数据分配给 SecurityHub::Hub 资源。每个标签都以字符串形式存在，由用户定义的键与可选的键值组成，您可以更轻松识别并管理环境中的 Amazon Web Services 资源。

您可以在 SecurityHub::Hub 资源上使用标签以控制访问权限。例如，您可以允许一组开发者IAM实体管理和更新只有相关标签的 SecurityHub::Hub 资源。通过这种方式，您既能够限制对生产 SecurityHub::Hub 资源的访问，同时允许开发人员在其开发环境中继续测试。

关于与 Security Hub APIs 一起使用基于标签条件的更多详细信息，请参阅在 Amazon Web Services Security Hub 中使用条件键。请注意，当您使用基于标签的条件进行访问控制时，需要首先定义谁有权修改这些标签。

为了使分类和跟踪 Amazon Web Services 成本变得更加容易，您还可以启用成本分配标签，这样可以对SecurityHub::Hub资源成本进行管理。Amazon Web Services 能够以 CSV 文件的形式生成成本分配报告，其中根据您活动标签对您的使用情况和成本进行分组。

您也可以用标签表示业务分类（例如成本中心、应用程序名称或者项目环境等），来管理您的成本构成。

关于常用标签类别以及有效执行标记策略的更多详细信息，请参阅 Amazon Web Services 标记策略。

2. 集成并启用您的现有安全产品（目前支持 34 个集成，一会更多）

大量工具可以帮助您了解 Amazon Web Services 账户的安全性和合规性，但这些工具通常会以不同格式生成自己的发现结果集。Security Hub 将发现结果标准化。

借助 Security Hub，可以使用标准的发现格式提取从集成提供商（第三方服务和 Amazon Web Services 服务）生成的发现，从而无需安全团队转换数据。目前可以集成 34 种发现提供程序提供的结果，可通过 Security Hub 导入与导出结果。另外，PagerDuty、Splunk 以及 Slack 等合作伙伴产品虽然无法生成结果，但可以从 Security Hub 接收发现结果。

如果需要将第三方合作伙伴产品添加至您的 Amazon Web Services 环境，则可以通过 Security Hub 控制台的 Integrations 页面中选择 Purchase 链接，然后导航至Amazon Web Services Marketplace。在购买完成之后，选择Configure 链接以导航至分步操作说明，以安装产品并完成与 Security Hub 的集成配置。最后，选择 Enable integration 在您的账户中为该第三方提供程序创建产品订阅（详见图一）。

在启用订阅之后，资源策略将自动附加到该策略。资源策略定义了 Security Hub 接受和处理产品的发现所需的权限。您还可以通过 API 和CloudFormation 启用订阅。

图一：将合作伙伴的调查结合与 Security Hub 相集成

3. 使用 Amazon CloudWatch Events、Amazon Web Services Systems Manager Automation 文档以及 Amazon Web Services Step Functions 建立自定义补救措施，以自动处理发现结果

Security Hub 将自动将所有发现结果发送至 Amazon CloudWatch Events。

通过允许您使用 Amazon Web Services Systems Manager Automation 文档、OpsItems 以及 Amazon Web Services Step Functions 采取特定操作，这套集成方案将帮助您自动完成对各类威胁事件的响应。使用这些工具，您可以创建自己的事件处理计划，保证安全团队得以专注于增强 Amazon Web Services 环境的整体安全性，而不是对当前的发现进行补救。