

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 AWS 安全服务
<a name="configure-aws-security-services"></a>

AWS 提供各种安全服务，旨在帮助保护您的 AWS 环境。对于您的漏洞管理程序，我们建议您在每个账户 AWS 服务 中启用以下选项：
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 可帮助检测您环境中的活跃威胁。 GuardDuty发现可以帮助您识别在您的环境中被利用的未知漏洞。其还可以帮助您了解未修补漏洞的影响。
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)提供对您的资源绩效以及 AWS 服务 和账户可用性的持续可见性。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 分析 AWS 环境中基于资源的策略，以标识与外部实体共享的资源。这可以帮助您识别与意外访问资源和数据关联的漏洞。对于在您的账户外共享的资源的每个实例，IAM Access Analyzer 都会生成一个调查结果。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一项漏洞管理服务，可持续扫描您的 AWS 工作负载，以查找软件漏洞和意外网络泄露。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)帮助您根据安全行业标准检查您的 AWS 环境，并可以识别云配置风险。它还通过汇总来自其他 AWS AWS 安全服务和第三方安全工具的调查结果，全面了解您的安全状态。

本节讨论如何启用和配置 Amazon Inspector 和 Security Hub CSPM，以帮助您建立可扩展的漏洞管理计划。

# 在漏洞管理计划中使用 Amazon Inspector
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一项漏洞管理服务，可持续扫描 Amazon Elastic Compute Cloud（Amazon EC2）实例、Amazon Elastic Container Registry（Amazon ECR）容器映像和 AWS Lambda 函数，以查找软件漏洞和意外网络暴露。您可以使用 Amazon Inspector 来了解您的 AWS 环境中的软件漏洞，并确定解决这些漏洞的优先顺序。

Amazon Inspector 在资源的整个生命周期中持续评测您的环境。它会自动重新扫描资源，以应对可能引入新漏洞的更改。例如，当您在 EC2 实例上安装新软件包、安装补丁或发布新的、影响资源的常见漏洞和披露（CVE）时，它会重新扫描。当 Amazon Inspector 发现漏洞或开放的网络路径时，其会生成可供您调查的调查发现。调查发现提供有关该漏洞的全面信息，包括以下各项：
+ [Amazon Inspector 风险评分](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [常见漏洞评分系统（CVSS）评分](https://www.first.org/cvss/calculator/3.1)
+ 受影响的资源
+ 来自 Amazon、[https://www.recordedfuture.com/](https://www.recordedfuture.com/) 和 [https://www.cisa.gov/](https://www.cisa.gov/) 的、关于 CVE 的漏洞情报数据
+ 修复建议

有关设置 Amazon Inspector 的说明，请参阅 [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)。本教程中的*激活 Amazon Inspector* 步骤提供了两个配置选项：独立账户环境和多账户环境。如果您想监控多个属于组织成员的用户 AWS 账户 ，我们建议您使用多账户环境选项。 AWS Organizations

在多账户环境中设置 Amazon Inspector 时，您可以将组织中的账户指定为 Amazon Inspector 委派管理员。委派管理员可以管理组织成员的调查发现和某些设置。例如，委派管理员可以查看所有成员账户汇总调查发现的详细信息，启用或禁用对成员账户的扫描，以及查看扫描的资源。 AWS SRA 建议您创建一个[安全工具账户](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，并将其作为 Amazon Inspector 的委托管理员使用。

# AWS Security Hub CSPM 在您的漏洞管理程序中使用
<a name="aws-security-hub"></a>

构建可扩展的漏洞管理程序除了云配置风险外，还 AWS 涉及管理传统软件和网络漏洞。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)帮助您根据安全行业标准检查您的 AWS 环境，并可以识别云配置风险。Security Hub CSPM 还 AWS 通过汇总来自其他安全服务和第三方安全工具的安全发现，全面了解您的 AWS 安全状态。

在以下各节中，我们提供了设置 Security Hub CSPM 以支持您的漏洞管理计划的最佳实践和建议：
+  [设置 Security Hub CSPM](#setting-up-security-hub)
+  [启用 Security Hub CSPM 标准](#enabling-security-hub-standards)
+  [管理 Security Hub CSPM 调查结果](#managing-security-hub-findings)
+  [聚合来自其他安全服务和工具的调查发现](#aggregating-findings-from-other-security-services-and-tools)

## 设置 Security Hub CSPM
<a name="setting-up-security-hub"></a>

有关设置说明，请参阅 [Setting up AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。要使用 Security Hub CSPM，必须启用。[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)有关更多信息，请参阅 Security Hub CSPM 文档 AWS Config中的[启用和配置](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如果您已与组织管理帐户集成 AWS Organizations，则可以从组织管理帐户中指定一个帐户作为 Security Hub CSPM 授权管理员。有关说明，请参阅[指定 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview) 授权管理员。 AWS SRA 建议您创建一个[安全工具帐户](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，并将其用作 Security Hub CSPM 委托的管理员。

授权的管理员自动有权为组织中的所有成员账户配置 Security Hub CSPM，并可以查看与这些账户关联的调查结果。我们建议你在所有 AWS 区域 版本中启用 Sec AWS Config urity Hub CSPM。 AWS 账户您可以将 Security Hub CSPM 配置为自动将新的组织帐户视为 Security Hub CSPM 成员帐户。有关说明，请参阅 [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。

## 启用 Security Hub CSPM 标准
<a name="enabling-security-hub-standards"></a>

*Security Hub CSPM 通过对安全控制进行自动和持续的安全检查来生成调查结果。*这些控制措施与一个或多个*安全标准*关联。这些控件可帮助您确定是否满足标准中的要求。

当你在 Security Hub CSPM 中启用标准时，Security Hub CSPM 会自动启用适用于该标准的控件。Security Hub CSPM 使用 AWS Config [规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)来执行其大部分安全控制检查。您可以随时启用或禁用 Security Hub CSPM 标准。有关更多信息，请参阅[中的安全控制和标准 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)。有关标准的完整列表，请参阅 Sec [urity Hub CSPM 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)参考。

如果您的组织还没有首选安全标准，我们建议使用 [AWS Foundational Security Best Practices（FSBP）标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)。该标准旨在检测何时 AWS 账户 出现资源偏离安全最佳实践。 AWS 策划本标准并定期对其进行更新，以涵盖新的功能和服务。对 FSBP 的调查发现进行分类后，可以考虑启用其他标准。

## 管理 Security Hub CSPM 调查结果
<a name="managing-security-hub-findings"></a>

Security Hub CSPM 提供了多种功能，可帮助您处理来自整个组织的大量调查结果并了解环境的安全状态。 AWS 为了帮助您管理调查结果，我们建议启用以下两个 Security Hub CSPM 功能：
+ 使用[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)将多个聚合区域的调查结果、查找更新、见解、控制合规性状态和安全评分汇总 AWS 区域 到单个聚合区域。
+ 使用[整合的控制调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)，通过删除重复的调查发现来减少调查发现噪音。在您的账户中启用合并控制结果后，Security Hub CSPM 会为控件的每项安全检查生成一个新的发现或查找结果更新，即使一个控件适用于多个启用的标准。

## 聚合来自其他安全服务和工具的调查发现
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

除了生成安全调查结果外，您还可以使用 Security Hub CSPM 来汇总来自多个受支持的第三方安全 AWS 服务 解决方案的查找数据。本节重点介绍向 Security Hub CSPM 发送安全调查结果。下一节将讨论如何将 S [准备分配安全调查发现](prepare-finding-assignments.md) ecurity Hub CSPM 与可以接收 Security Hub CSPM 调查结果的产品集成。

您可以将许多 AWS 服务第三方产品和开源解决方案与 Security Hub CSPM 集成。如果您刚开始使用，我们建议执行以下操作：

1. **启用**集成 AWS 服务— 在您同时启用 S AWS 服务 ecurity Hub CSPM 和集成服务后，大多数向 Security Hub CSPM 发送调查结果的集成都会自动激活。对于您的漏洞管理计划，我们建议在每个账户中启用 Amazon Inspector GuardDuty AWS Health、Amazon 和 IAM Access Analyzer。这些服务会自动将其发现结果发送到 Security Hub CSPM。有关支持的 AWS 服务 集成的完整列表，请参阅[AWS 服务 将调查结果发送给 Security Hub CSP](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html) M。
**注意**  
AWS Health 如果满足以下条件之一，则向 Security Hub CSPM 发送调查结果：  
该发现与 AWS 安全部门有关
调查发现 **typecode** 包含 `security`、`abuse` 或 `certificate` 字样
查找 AWS Health 服务是`risk`或 `abuse`

1. **设置第三方集成**：要查看当前支持的集成列表，请参阅 [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。选择任何其他可以向 Security Hub CSPM 发送调查结果或从 Security Hub CSPM 接收调查结果的工具。您可能已经拥有其中一些第三方工具。按照产品说明配置与 Security Hub CSPM 的集成。