掌握Amazon Security Hub, 定制安全策略保护您的云环境

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC242-Customize_and_contextualize_security_with_AWS_Security_Hub-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 安全团队有很多职责:监控结果并找到合适的利益相关者来解决它们,将正确的安全保护与组织中的不同帐户对齐,并在规模上管理所选择的设置。加入此课程,了解如何使用新的Amazon Security Hub功能更轻松地管理您的安全需求,并在OU、帐户和区域中自定义您的安全控制。了解有关添加到Security Hub结果中的归因信息的更新以及其仪表板的重大增强,以帮助改进您整个云安全组织,以便您可以更好地报告和响应安全事件。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共2100字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 1. 一个基于最佳实践的执行持续检查的完全托管安全态势管理服务。 2. 从亚马逊云科技服务和第三方无缝聚合发现，从而更好地理解安全态势和响应。 启用安全中心的过程非常简单，用户可以通过控制台或CloudFormation来实现，从而轻松地在账户之间进行部署。据多拉介绍，客户对安全中心的可扩展性表示赞赏，无论是拥有几个账户还是数千个达到数百万的资源。该服务可以运行配置检查并全面组织范围内的发现。 多拉分享了一个客户案例，该客户在启用安全中心后发现，他们在最初的低安全分数上取得了进展。然而，当他们开始解决问题并改进配置时，他们的分数随着时间的推移有了显著提高。 从可视化的角度来看，多拉展示了安全中心如何从组织成控制和标准的配置检查中生成自己的发现。亚马逊云科技维护一个基础标准，代表基于服务团队指导的亚马逊云科技资源的安全最佳实践。安全中心还支持诸如PCI、CIS之类的标准，以及更多的标准——超过290个控制涵盖了80多个资源类型，并且正在不断增加。 此外，安全中心从其他亚马逊云科技服务如GuardDuty、Inspector和第三方提供商如CrowdStrike那里收集发现。所有这些数据流入安全中心，将其归一化为一个单一的架构并将其集中到一个区域和帐户中。这种合并提供了亚马逊云科技所有安全发现的单一面板。 通过完整的安全状况视图，安全中心提供了一个安全分数、仪表板和优先级。去年夏天添加的自动化规则允许根据标准来抑制或升级发现，以关注优先事项。 与EventBridge的集成可以实现补救行动，如执行Lambda函数的丰富化、运行SSM自动化的错误配置修复等。发现还可以发送到合作伙伴如Splunk或Jira，或者发送到Detective进行调查。与安全湖的集成促进了长期存储。 多拉提到，安全中心与Detective的集成使客户能够进一步分析发现，通过将它们与其他日志和数据结合使用，以充分调查安全事件。 随着时间的推移，随着更多服务的扩大、账户的增加以及新的治理方法（如亚马逊云科技Organizations）的出现，安全团队要求在应用程序级别而不是仅资源或帐户上更简单地管理安全设置。 为此，本周亚马逊云科技宣布了四个新的安全中心功能： 1. 中央配置 - 通过一个委托管理账户，可以轻松地在各个帐户和区域中实施策略。这有助于防止配置不一致问题。 2. 可定制的控制 - 可以对30多个控制进行精细调整，包括允许的端口和密码策略等，以满足组织的特定策略需求。 3. 丰富的查找功能 - Security Hub能自动使用来自Amazon Web Services（亚马逊云科技）应用程序的标签，以提高查找结果的准确性并提供更丰富的上下文信息。 4. 增强的仪表板 - 新的威胁、漏洞小部件提供了强大的过滤功能，可深入查看账户、应用程序和标签。用户还可以保存自定义视图以便随时查看。 随后，Dora请Gal详细解释并展示中央配置的功能。 Gal解释说，随着客户在亚马逊云科技中使用的服务和资源不断增加，他们的云环境正在迅速扩展，Security Hub也需要扩展以保护和监控不断增长的各种资源类型的配置错误。在过去的三年里，Security Hub的控制数量已经增长了超过两倍，并且至少每季度都会根据客户的使用模式推出新的控制。最近，Security Hub已经实现了在全球所有的22个亚马逊云科技商业区域以及GovCloud和中国区域的覆盖，以保护全球的工作负载。 通过与Amazon Organizations的集成，现有和新账户现在可以轻松启用Security Hub，并使用默认设置。这使得在整个组织内维持安全覆盖变得更加简单。然而，在集成之前，对所有账户和区域进行单独配置这些设置是非常繁琐的。Gal提供了一个示例，说明一个客户以前必须在每个账户和区域单独配置Security Hub，这是一项非常繁琐的工作。 新的中央配置功能解决了这个问题。现在，从一个委托的管理账户出发，Security Hub的配置只需要一个简单的两步过程。首先，定义一个包含所需控制和标准的安全配置策略。然后，将该策略应用于账户、组织单位或整个组织。如果需要在所有环境中使用相同的控制，请创建一个策略并在整个组织中应用。对于不同环境的设置（如测试和生产），请定义单独的策略并分别应用。 中央配置还引入了主区域的概念，作为所有链接的亚马逊云科技区域的单一管理点。在主区域中配置Security Hub一次，并将其传播到所有链接的账户和区域。 从开始到结束，文字的内容保持不变。 加尔对公司的财务政策进行了调整，以加强内部控制。他通过减少可用的端口数量并增加密码长度，使得财务部门的操作更加严格。这种调整展示了他如何在满足特定公司需求的情况下优化管理策略。 总的来说，加尔表示，通过使用安全中心，现在可以在短时间内为拥有100个账户的公司配置所需的安全覆盖设置，并生成一系列有价值的发现结果以采取相应行动。 接下来，沙哈提出了关于如何改进安全中心的上下文分析功能以加快反应速度的建议。他认为，要对安全发现进行有效的快速响应，需要深入了解这些发现与哪些资源、账户或应用程序有关。这样可以帮助正确确定优先级，并与相关人员合作解决发现的问题。 为了简化客户在使用亚马逊云科技时对应用程序级别的安全性进行监控的过程，亚马逊云科技推出了一种新的方法：使用Amazon:Application标签在整个服务中统一定义应用程序。这样一来，安全中心会在每个发现结果中添加应用程序名称、资源标签和账户名称（而不仅仅是ID），作为额外的背景信息。这将有助于搜索、过滤、优先排序以及基于这些属性进行的自动化操作。例如，可以通过事件桥规则自动将发现结果升级到生产账户或应用程序。 在修复个别发现之后，还需要评估整个系统的安全性。尽管安全中心的仪表板可以提供跨组织的全面视图，但它仍然局限于单个账户或个人的视角。为了满足客户的更多需求，亚马逊云科技已经大大增强了仪表板的新功能： - 为不同的关注点如基础设施、身份和漏洞提供相关的窗口小部件； - 强大的过滤器可以放大到账户、应用程序、标签等； - 能够保存过滤后的视图以便快速访问感兴趣的领域。 沙哈尔随后开始展示这些新功能。首先，他从调查结果页面开始，展示了如何根据帐户名和应用程序标签进行筛选，以确定特定的生产应用程序。额外的上下文，如资源标签，有助于确定发现的严重性。此外，可以使用自定义操作来自动化修复过程，如创建故障单或隔离。 在仪表板页面上，他展示了小部件数据和过滤器是如何关联的。当将筛选条件更改为关键发现更新后，“顶级资产”小部件将仅显示相关资源。将特定的过滤集保存为专用视图允许定制仪表板。例如，放大生产帐户中的威胁或关键漏洞。新的小部件，如可利用的漏洞，提供了可操作的见解。将仪表板专注于关键指标可以加速反馈循环，以提高安全状况。 总的来说，通过增强的仪表板功能，Security Hub为感兴趣的帐户、应用程序和问题提供了更具体的可见性。结合上下文化的发现结果，这可以支持更快、更有效的云安全操作。 多拉通过概述一些下一步来结束会议，以便了解更多关于Security Hub的信息： - 在整个组织中免费试用30天 - 参加激活日活动，以获取有关设置和操作的实战指导 - 通过SNS订阅Security Hub公告以保持最新 - 记住日期，参加6月10日至12日在费城举行的亚马逊云科技re:Enforce安全大会 她感谢所有人参加并邀请他们在会后有任何其他问题前来与团队见面。 通过在re:Invent上发布的新功能，Security Hub为每个组织提供了丰富的定制选项，以匹配其需求；通过丰富地发现结果的上下文，可以实现准确的响应；以及通过增强的仪表板实现全面的可见性。通过帮助安全团队定制、优先排序和行动，Security Hub使企业能够提高其云安全状况。 **下面是一些演讲现场的精彩瞬间：** 亚马逊云科技的部门负责人在台上向观众介绍了两位新加入的同事。  他详细阐述了亚马逊云科技的新定制功能，允许用户手动配置安全控制。  如今，安全中心会自动为每个发现的结果添加资源标签、账户和应用信息，以便帮助客户将发现的结果归因到正确的地方。  借助资源标签，用户可以根据账户名称、应用名称以及其他来自亚马逊云科技应用标签的属性进行更准确的搜索、过滤、优先处理和安全发现结果的自动化。  亚马逊云科技已经发布了重大安全功能升级，以满足安全团队反馈的各种云安全需求。  此外，亚马逊云科技还为用户添加了新的可自定义的小部件库，以帮助他们根据运营或执行需求组织和定制仪表板。  负责人宣布了一个即将举行的亚马逊云科技安全峰会的日期和地点。  ## 总结 1. Security Hub引入了一种新的集中管理模式，使得整个亚马逊云科技组织的安全管理设置能够通过一个受托管理账户轻松管理。客户可以利用所需的控制和标准要求来制定安全配置策略，并将其应用于账户和组织单位（OU）。 2. Security Hub已经增强了对其众多控制项进行个性化定制的能力，因此客户可以根据他们的特殊安全需求调整检查项目。根据不同需求，可以为不同账户或组织单位设置不同的参数。 3. Security Hub的新发现丰富功能为发现过程增添了相关上下文，例如资源标签、账户名称和应用等。这种附加上下文有助于客户更好地理解并确定发现的优先级，从而加快问题的解决速度。 综上所述，最新版本的Security Hub可以帮助客户根据他们组织的需求定制安全监控，从而提高云安全操作的效率。集中管理、定制控制和上下文化发现共同使客户能够在亚马逊云科技内部跨账户、资源和应用进一步优化他们的安全状况。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")