本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控件类别
每个控件都在Amazon Security Hub被分配了一个类别。控件的类别反映了它应用于的安全功能。
类别值包含类别、类别中的子类别以及子类别中的分类器(可选)。例如:
-
检测 > 检测服务 > 应用程序监控
-
识别 > 列表
-
保护 > 数据保护 > 加密传输中的数据
以下是适用于当前可用的 Security Hub 控件的类别、子类别和分类器的描述。
Detect
制定并实施适当的活动,以识别网络安全事件的发生。
- 检测服务
-
是否有正确的检测服务,覆盖范围适中?
的示例Amazon检测服务包括亚马逊 CloudWatch 警报、亚马逊Detective、亚马逊 GuardDuty,Amazon InspectorAmazon IoT Device Defender,Amazon Security Hub,以及Amazon Trusted Advisor.
-
应用程序监控— 是否监控应用程序运行状况以保持可用性?
-
识别
了解组织情况以管理系统、资产、数据和功能面临的网络安全风险。
- 清单
-
正在使用哪些资源,它们是否已批准用于此项服务的资源?
标记— 是否为服务(包括资源所有者)实施了正确的资源标记策略?
- 日志记录
-
您是否已安全启用该服务的所有相关日志记录? 日志文件示例如下:
-
Amazon VPC 流日志
-
Elastic Load Balancing 访问日志
-
亚马逊 CloudFront 圆木
-
亚马逊 CloudWatch 圆木
-
Amazon Relational Database Service alat
-
亚马逊 OpenSearch 服务慢速索引日志
-
X-Ray 跟踪
-
Amazon Directory Service 日志
-
Amazon Config项目
-
- 资源配置
-
您是否了解如何配置资源以减少攻击面?
- 漏洞、补丁和版本管理
-
您是否有需要修补的资源或存在不可接受漏洞的资源? 您是否在使用最新版本的软件?
保护
制定并实施适当的保护措施,以确保提供关键基础设施服务和安全编码实践。
- 安全访问管理
-
该服务是否有严格的身份验证和授权策略?
访问控制— 该服务的 IAM 或资源策略是否符合最低权限实践?
无密码验证— 是否使用联合身份或 SSO 来对用户进行身份验证,而不是 ID、密码和访问密钥? Kerberos 是否用于消除通过网络传输密码的需要?
Root 用户访问限制— 是否避免使用 root 用户?
Api 敏感操作受限— 是否对服务的敏感 API 操作进行了适当限制,尤其是那些导致权限升级或资源共享的操作? 这可能适用于 IAM 或基于资源的策略。
- 安全网络配置
-
该服务是否避免了公共和不安全的远程网络访问?
API 私有访问— 是否已启用 VPC 终端节点进行私有访问AmazonAPI?
资源不可公开访问— 资源是否正确分段和隔离?
VPC 中的资源— VPC 是否有正确的用法,例如要求在 VPC 中运行作业?
安全组配置— 安全组配置是否安全?
- 数据保护
-
您是否有机制来保护您的服务消费、发送或存储的数据?
静态数据加密— 该服务是否对静态数据进行加密?
传输中数据加密— 该服务是否对传输中的数据进行加密?
数据集成— 该服务是否验证数据的完整性?
-
数据删除保护— 该服务是否保护数据免遭意外删除?
- API 保护
-
该服务是否使用Amazon PrivateLink保护服务 API 操作?
- 保护性服务
-
是否有适当的保护性服务? 它们是否提供了正确的覆盖范围?
保护性服务可帮助您转移针对该服务的攻击和破坏。中的保护服务示例Amazon包括Amazon Control Tower,Amazon WAF,Amazon Shield Advanced,Amazon Network Firewall,Amazon Secrets Manager,Amazon Identity and Access Management访问分析器,以及Amazon Resource Access Manager.
- 安全开发
-
您是否使用了安全编码实践?
-
凭证未硬编码— 你的代码中是否有硬编码的证书?
-
恢复
制定并实施适当的活动,以维护恢复能力计划,恢复因网络安全事件而受损的任何能力或服务。
- 故障恢复能力
-
您的工作负载能否从安全事件中快速恢复?
已启用备份— 您是否建立并测试了备份?
高可用性— 服务的配置是否允许流畅的故障转移、弹性扩展和高可用性?