Häufig gestellte Fragen zu Security Hub

AWS Security Hub ist eine einheitliche Cloud-Sicherheitslösung, die Ihre kritischen Sicherheitsprobleme priorisiert und Ihnen hilft, in großem Umfang zu reagieren. Er erkennt kritische Probleme, indem Sicherheitssignale aus mehreren Quellen automatisch korreliert und angereichert werden, z. B. Statusmanagement (AWS Security Hub CSPM), Schwachstellenmanagement (Amazon Inspector), sensible Daten (Amazon Macie) und Bedrohungserkennung (Amazon GuardDuty). Auf diese Weise können Sicherheitsteams aktive Risiken in ihrer Cloud-Umgebung durch automatisierte Analysen und kontextbezogene Insights erkennen und priorisieren. Durch intuitive Visualisierungen, einschließlich Bedrohungstrends und Risikozusammenfassungen, wandelt Security Hub komplexe Sicherheitssignale mithilfe von Risikoanalytik nahezu in Echtzeit in umsetzbare Erkenntnisse um, sodass Sie schnell fundiertere Sicherheitsentscheidungen treffen können. Die Lösung umfasst auch automatisierte Reaktionsabläufe, um Abhilfemaßnahmen in großem Umfang zu optimieren. So können Sie Sicherheitsrisiken reduzieren und gleichzeitig die Teamproduktivität verbessern und Betriebsunterbrechungen minimieren.

Security Hub CSPM (Cloud Security Posture Management) bietet automatische bewährte Sicherheitsprüfungen, die Ihnen helfen, Ihre allgemeine Sicherheitslage in Ihren AWS-Konten zu verstehen. Es liefert wichtige Signale zur Sicherheitslage, die mit anderen Sicherheitsfunktionen zusammenarbeiten, um Sicherheitsprobleme zu priorisieren und Ihnen zu helfen, in großem Umfang zu reagieren.

Security Hub hat seine Funktionen erweitert und sich von einem zentralisierten Aggregator für Sicherheitserkenntnisse und einem Service zur Verwaltung der Sicherheitslage zu einer umfassenden, einheitlichen Cloud-Sicherheitslösung weiterentwickelt. Was Sie zuvor als Security Hub kannten und das sich auf die Zusammenfassung von Sicherheitserkenntnissen, bewährte Sicherheitsprüfungen und die Überwachung der Einhaltung von Vorschriften konzentrierte, ist jetzt als Security Hub CSPM verfügbar. Auf dieser Grundlage korreliert Security Hub jetzt automatisch Sicherheitssignale über mehrere Funktionen hinweg, darunter Schwachstellenmanagement (Amazon Inspector), Bedrohungserkennung (Amazon GuardDuty), Statusmanagement (AWS Security Hub CSPM) und Erkennung sensibler Daten (Amazon Macie). Diese verbesserte Korrelation hilft Ihnen dabei, kritische Sicherheitsrisiken zu identifizieren, die möglicherweise übersehen werden, wenn Sie die Erkenntnisse isoliert betrachten. Zum Beispiel kann Security Hub jetzt automatisch erkennen, wenn eine öffentlich zugängliche Ressource mit einer kritischen Schwachstelle auch Zugriff auf sensible Daten hat, und bietet so einen wichtigen Kontext für die Priorisierung und Reaktion. Alles, was Sie an der Aggregation von Sicherheitserkenntnissen und dem Statusmanagement geschätzt haben, bleibt erhalten und wird durch diese neuen Funktionen erweitert. Ihre bestehenden Sicherheitsprüfungen, Compliance-Überwachung und Integrationen funktionieren weiterhin wie zuvor und verfügen gleichzeitig über leistungsstarke neue Features für Korrelation, Analyse, Bedrohungstrends, Risikozusammenfassungen und automatisierte Reaktionen. Diese Entwicklung hilft Ihnen beim Schutz Ihrer Cloud-Umgebung, indem mehrere Sicherheitssignale mithilfe von Risikoanalytik nahezu in Echtzeit in umsetzbare Erkenntnisse umgewandelt werden, die schnellere und fundiertere Sicherheitsentscheidungen ermöglichen.

AWS Security Hub hat sich von einem auf Cloud Security Posture Management (CSPM) ausgerichteten Service zu einer einheitlichen Cloud-Sicherheitslösung entwickelt. Bei GA bietet Security Hub Verbesserungen gegenüber der Vorschauversion, darunter Risikoanalytik nahezu in Echtzeit, die einen erweiterten Risikokontext bieten, um schnellere, fundiertere Sicherheitsentscheidungen zu ermöglichen, ein Trends-Dashboard, das eine visuelle Analyse von Risikoübersichten und Bedrohungstrend-Widgets bietet, sowie eine einheitliche Aktivierung und Verwaltung, die den Betrieb mit nur einem Klick für Regionen und Konten optimiert, um die Konfigurationszeit und Komplexität zu reduzieren. Security Hub führt außerdem ein optimiertes Preismodell ein, das die Preisgestaltung für mehrere Services (Amazon Inspector, GuardDuty, Security Hub CSPM) konsolidiert, um das Kostenmanagement zu optimieren und die Planbarkeit des Budgets zu verbessern. Sie erhalten auch ein Tool zur Kostenschätzung, mit dem Sie Ihre Investition planen können.

• Einheitliche Sicherheitsabläufe: Verschaffen Sie sich einen umfassenderen Überblick über Ihre Cloud-Umgebung durch eine zentrale Verwaltung in einer einheitlichen Cloud-Sicherheitslösung.
• Zuverlässige Priorisierung: Treffen Sie fundierte Entscheidungen zu Ihren kritischen Sicherheitsproblemen durch automatische Korrelation und verbesserten Risikokontext. 
• Umsetzbare Sicherheitsinformationen: Gewinnen Sie durch Risikoanalytik nahezu in Echtzeit, einschließlich Bedrohungstrends und Risikozusammenfassungen, umsetzbare Erkenntnisse, um die für Ihre Umgebung spezifischen Sicherheitsrisiken aufzudecken.
• Optimierte Reaktion in großem Maßstab: Reduzieren Sie die Reaktionszeiten mit automatisierten Workflows und der systemeigenen Ticketsystemintegration, um Ihre Cloud-Umgebung zu schützen.
• Kontinuierliche Sicherheitsüberwachung: Erkennen Sie Abweichungen von den bewährten Sicherheitsmethoden mithilfe automatisierter Sicherheitsprüfungen anhand von Branchenstandards und bewährten AWS-Methoden.

Ja, Sie können sowohl Security Hub als auch Security Hub CSPM gleichzeitig verwenden. Der erweiterte Security Hub ist eine einheitliche Cloud-Sicherheitslösung, die Security Hub CSPM für die Verwaltung der Sicherheitslage zusammen mit anderen Sicherheitsservices wie Amazon Inspector, Amazon GuardDuty und Amazon Macie verwendet. Wenn Sie den erweiterten Security Hub aktivieren, nutzt er Security Hub CSPM, um automatische Sicherheitsprüfungen und Compliance-Überwachung bereitzustellen und gleichzeitig erweiterte Korrelationsfunktionen, Gefährdungserkenntnisse und automatische Reaktionsfunktionen für diese verschiedenen Sicherheitsservices hinzuzufügen. Dieser Ansatz ermöglicht es Ihnen, Ihre bestehende Security-Hub-CSPM-Funktionalität beizubehalten und gleichzeitig die erweiterten Korrelations- und Priorisierungsfeatures der einheitlichen Security-Hub-Lösung zu nutzen. Sie können zwar wählen, welche Funktionen Sie aktivieren möchten, wir empfehlen jedoch, die vollständige, einheitliche Lösung zu verwenden, um Ihre kritischen Sicherheitsprobleme mithilfe automatisierter Korrelation und eines verbesserten Kontextes zwischen Sicherheitssignalen in großem Umfang zu priorisieren und darauf zu reagieren.

Security Hub verbessert Ihre Sicherheitsabläufe, ohne bestehende Workflows zu stören. Sie erhalten ein einheitliches Konsolenerlebnis, das Sicherheitserkenntnisse aus mehreren Services konsolidiert und gleichzeitig bei Bedarf den vollen Zugriff auf einzelne Servicekonsolen gewährleistet. Zu den wichtigsten betrieblichen Verbesserungen gehören die optimierte Bereitstellung mehrerer Konten durch die Integration von AWS Organizations, die zentrale Verwaltung von Sicherheitserkenntnissen und die automatische Risikopriorisierung, sodass sich Ihr Team zuerst auf kritische Probleme konzentrieren kann. Ihre bestehenden Sicherheitsprozesse und Team-Workflows bleiben erhalten, werden jedoch durch konsolidierte Transparenz und vereinfachtes Management effizienter.

Das optimierte Preismodell von Security Hub konsolidiert die Gebühren mehrerer AWS-Sicherheitsservices unter einheitlicher Abrechnung, wenn Sie Security Hub aktivieren. Anstatt separate Rechnungen für Amazon Inspector, GuardDuty und Security Hub CSPM zu erhalten, erhalten Sie über Security Hub konsolidierte Preise für die inbegriffenen Funktionen. Das Modell besteht aus zwei Hauptkomponenten: Der Security-Hub-Essentials-Plan (automatisch enthalten) bietet Risikoanalytik, Schwachstellenmanagement, Sicherheitsmanagement und Sicherheitsreaktionsmanagement, während der Bedrohungsanalyseplan (Add-on) erweiterte Funktionen zur Bedrohungsüberwachung bietet. Wenn Security Hub nicht aktiviert ist, gelten für diese Services individuelle Servicepreise. Weitere Informationen finden Sie auf der Security-Hub-Preisseite.

Sie haben zwei Bereitstellungsansätze:

Einheitliche Sicherheitslösung (empfohlen): Bei allgemeiner Verfügbarkeit (GA) bietet Security Hub einen einheitlichen Aktivierungsprozess und die Möglichkeit, Ihre Einstellungen für mehrere AWS-Regionen und Konten von einer einzigen, einheitlichen Konsole aus zu verwalten.

• Aktivieren Sie Security Hub mit seinen grundlegenden Services:
• Security Hub CSPM für Lagemanagement
• Amazon Inspector für das Schwachstellenmanagement (Amazon-EC2-Scannen, Amazon-ECR-Container-Scannen und AWS-Lambda-Standardscannen)
• Amazon GuardDuty für die Bedrohungserkennung

Individueller Ansatz: Nutzen Sie Sicherheitsservices unabhängig voneinander und verwalten Sie Sicherheitserkenntnisse separat. Dies ermöglicht zwar gezielte Anwendungsfälle, Sie müssen die Erkenntnisse jedoch manuell korrelieren, um kritische Sicherheitsrisiken zu identifizieren und zu priorisieren. Für neue Features im erweiterten Security Hub wie Gefährungserkenntnisse, Trends, Risikoanalytik in Echtzeit und automatische Korrelationsanalysen müssen die grundlegenden Services (Security Hub CSPM und Amazon Inspector) aktiviert werden. Ohne diese grundlegenden Services werden Sie nicht in der Lage sein, von diesen Sicherheitsfeatures zu profitieren. Wählen Sie den Ansatz, der Ihren spezifischen Sicherheitsanforderungen und -präferenzen am besten entspricht. Die einheitliche Lösung wird jedoch empfohlen, da sie eine automatische Korrelation und einen verbesserten Kontext zwischen Sicherheitssignalen bietet und Ihnen hilft, Sicherheitsrisiken in großem Umfang zu priorisieren und darauf zu reagieren.

Security Hub ist ein regionaler Service, unterstützt jedoch die regionsübergreifende Aggregation von Erkenntnissen durch die Benennung einer Aggregatorregion. Kunden müssen Security Hub in jeder Region aktivieren, um Erkenntnisse für diese Region anzeigen zu können.

Für den erweiterten Security Hub ist AWS Config nicht erforderlich. Security Hub CSPM, eine Kernfunktion von Security Hub, erfordert jedoch, dass Sie AWS Config in Ihrem Konto aktivieren und es so konfigurieren, dass Änderungen an der Ressourcenkonfiguration aufgezeichnet werden. AWS Config muss diese Konfigurationsänderungen verfolgen, um mögliche Fehlkonfigurationen in Ihren Ressourcen zu identifizieren.

Nein, Security Hub ergänzt andere AWS-Sicherheitsservices, indem es eine einheitliche Ansicht und erweiterte Korrelationsfunktionen bietet. Security Hub korreliert und bereichert zwar die Erkenntnisse von Services wie Amazon GuardDuty, Amazon Inspector und Amazon Macie, aber Sie müssen möglicherweise immer noch einzelne Servicekonsolen für bestimmte Konfigurationen oder detaillierte Untersuchungen verwenden. Security Hub bietet eine einheitliche Sicherheitslösung mit erweiterter Analytik und automatisierten Reaktionsfunktionen in Ihrer gesamten Cloud-Umgebung.

Security Hub priorisiert Ihre kritischen Sicherheitsprobleme und hilft Ihnen, skalierbar zu reagieren, indem Sicherheitssignale aus mehreren Quellen, z. B. Bedrohungserkennung und Schwachstellenmanagement, automatisch korreliert und angereichert werden. Durch diese Korrelation erkennt und priorisiert Security Hub aktive Risiken in Ihrer Cloud-Umgebung und wandelt komplexe Sicherheitssignale durch intuitive Visualisierungen und Zusammenfassungen in natürlicher Sprache in umsetzbare Erkenntnisse um. Auf diese Weise können Sie schnell fundiertere Sicherheitsentscheidungen treffen und gleichzeitig automatisierte Reaktionsabläufe verwenden, um Abhilfemaßnahmen in großem Umfang zu optimieren. Sie können Sicherheitsrisiken reduzieren, die Produktivität Ihres Teams verbessern und potenzielle Betriebsunterbrechungen minimieren, während Sie gleichzeitig einen umfassenden Überblick über Ihre Sicherheitslage behalten, um Ihre Cloud-Umgebung zu schützen.

Security Hub korreliert Sicherheitserkenntnisse, um die kritischen Probleme in Ihrer Cloud-Umgebung zu priorisieren. Durch die Analyse von Ressourcenbeziehungen und Signalen von Services wie Amazon Inspector, AWS Security Hub CSPM, Amazon GuardDuty und Amazon Macie generiert der erweiterte Security Hub automatisch Gefährdungserkenntnisse, die Ihnen helfen, Ihre kritischen Sicherheitsprobleme zu lösen. Mithilfe von Gefährdungserkenntnissen können Sie auch visuell nachvollziehen, wie verschiedene Ressourcenbeziehungen, Konfigurationen und zugehörige Erkenntnisse kombiniert werden, um potenzielle Angriffspfade zu ermitteln. Zum Beispiel: „Potenzieller Diebstahl von Anmeldeinformationen: Eine über das Internet erreichbare EC2-Instance mit administrativem Instance-Profil weist Software-Sicherheitslücken auf, die über das Netzwerk ausgenutzt werden können, und die Wahrscheinlichkeit einer Ausnutzung ist hoch.“ Sie erhalten klare Insights in potenziell ausnutzbare Ressourcen und können fundierte Entscheidungen darüber treffen, welche Probleme zuerst angegangen werden müssen. So können Sie komplexe Sicherheitsszenarien identifizieren, die möglicherweise übersehen werden, wenn Sie die Erkenntnisse isoliert betrachten.

Security Hub berechnet den Schweregrad der Gefährdung, indem er mehrere Sicherheitsmerkmale der AWS-Services analysiert und korreliert. Anstatt diese Faktoren isoliert zu bewerten, verwendet Security Hub einen kontextuellen Ansatz und weist eine Schweregradbewertung zu, die darauf basiert, wie diese Faktoren miteinander korrelieren. Beispielsweise kann eine Ressource mit einer identifizierten Schwachstelle einen höheren Schweregrad erhalten, wenn sie über das Internet ausnutzbar ist oder Zugriff auf sensible Daten hat.

Einfache Auffindbarkeit: Die Verfügbarkeit automatisierter Tools, z. B. Port-Scans oder Internetsuchen, um die gefährdete Ressource zu ermitteln.

Einfache Ausnutzung: Die Leichtigkeit, mit der ein Bedrohungsakteur das Risiko ausnutzen kann. Wenn es beispielsweise offene Netzwerkpfade oder falsch konfigurierte Metadaten gibt, kann ein Bedrohungsakteur das Risiko leichter ausnutzen.

Wahrscheinlichkeit einer Ausnutzung: Security Hub verwendet sowohl externe Signale wie das Exploit Protection Scoring System (EPSS) als auch interne Bedrohungsinformationen, um die Wahrscheinlichkeit zu ermitteln, mit der das Risiko ausgenutzt wird. Dieser umfassende Ansatz gilt für Gefährdungserkenntnisse für Amazon Elastic Compute Cloud (EC2)-Instances und AWS-Lambda-Funktionen.

Bewusstsein: Das Ausmaß, in dem das Risiko nicht nur theoretischer Natur ist, sondern öffentlich zugängliche oder automatisierte Ausnutzungsmöglichkeiten hat. Dieser Faktor gilt für Gefährdungserkenntnisse für EC2-Instances und Lambda-Funktionen.

Auswirkung: Der potenzielle Schaden, wenn die Schwachstelle ausgenutzt wird. Beispielsweise könnte eine Gefährdung zum Verlust der Vertraulichkeit aufgrund von Datenoffenlegung, zum Verlust der Integrität aufgrund von Datenkorruption, zum Verlust der Verfügbarkeit oder zum Verlust der Rechenschaft führen.

Security Hub hilft Ihnen zu visualisieren, wie Sicherheitslücken und Fehlkonfigurationen miteinander verkettet werden können, um potenzielle Angriffspfade auf kritische Ressourcen zu schaffen. Durch die automatische Korrelation von Sicherheitssignalen identifiziert Security Hub diese potenziellen Pfade und hilft Ihnen so zu verstehen, welche kritischen Ressourcen betroffen sein könnten und in welchem Umfang das potenzielle Risiko besteht. Diese Erkenntnisse ermöglichen es Ihnen, Abhilfemaßnahmen zu priorisieren und Ihre kritischen Ressourcen zu schützen, bevor Risiken ausgenutzt werden können.

Security Hub bietet eine einheitliche Ansicht Ihrer AWS-Ressourcen, die Sicherheitslage, Konfigurationsdetails und Anwendungskontext kombiniert. Sie können über das Internet erreichbare Ressourcen und die zugehörigen Sicherheitserkenntnisse in einer einzigen konsolidierten Ansicht identifizieren. Auf diese Weise können Sie Ihre kritischen Sicherheitsprobleme priorisieren und in großem Umfang reagieren, indem eine optimierte Sicherheitsanalyse für alle Ihre Ressourcentypen ermöglicht wird.

Security Hub bietet Trendanalysen anhand von Risikozusammenfassungen und Bedrohungstrends, die Ihnen helfen, Sicherheitsmuster im Laufe der Zeit zu verstehen. Das einheitliche Dashboard umfasst anpassbare Widgets, die risikobasierte Priorisierungsansichten, Angriffspfadvisualisierungen und Trendanalytik anzeigen. Mit diesen Funktionen können Sie verfolgen, wie sich Ihre Sicherheitslage entwickelt, und neue Bedrohungen oder wiederkehrende Probleme in Ihrer Umgebung identifizieren.

Security Hub hilft Ihnen, durch automatisierte Workflows und die Integration in bestehende Ticketsysteme in großem Umfang auf kritische Sicherheitsprobleme zu reagieren. Durch die Umwandlung von Sicherheitssignalen in umsetzbare Erkenntnisse und die Bereitstellung automatisierter Reaktionsfunktionen hilft Ihnen Security Hub dabei, Sicherheitsrisiken zu reduzieren und gleichzeitig die Teamproduktivität zu verbessern und Betriebsunterbrechungen zu minimieren.

Die Erkenntnisse von Security Hub und Security Hub CSPM unterscheiden sich in vier Hauptaspekten: Quellen, Typen, Format und Bereitstellung von Ereignissen.

• Quellen der Erkenntnisse: Security Hub erhält Erkenntnisse von Security Hub CSPM (Erkenntnisse von Sicherheitsprüfungen), Amazon GuardDuty, Amazon Inspector und Amazon Macie. Security Hub CSPM erhält Erkenntnisse von verschiedenen AWS-Services wie AWS Config, AWS WAF, Amazon GuardDuty, Amazon Inspector, Partnertools von Drittanbietern und Ihre benutzerdefinierten Erkenntnisse.
• Arten von Erkenntnissen: Beide erhalten zwar Erkenntnisse von integrierten Sicherheitsservices, aber der erweiterte Security Hub generiert auch Gefährdungserkenntnisse, indem er Sicherheitssignale von AWS Security Hub CSPM, Amazon Inspector und Amazon Macie korreliert, um kritische Sicherheitsrisiken zu identifizieren. Diese Gefährdungserkenntnisse bieten durch die automatische Korrelation mehrerer Sicherheitssignale einen besseren Kontext.
• Format der Erkenntnisse: Der erweiterte Security Hub verwendet das OCSF-Format (Open Cybersecurity Schema Framework), während Security Hub CSPM das ASFF (AWS Security Finding Format) verwendet. Dieser Unterschied im Format spiegelt ihre unterschiedlichen Ansätze für das Management und die Analyse von Sicherheitslücken wider.
• Bereitstellung von Ereignissen: Die Erkenntnisse von Security Hub CSPM werden über Amazon EventBridge mit dem Detailtyp „Security Hub Findings – Imported“ übermittelt. Die Erkenntnisse von Security Hub werden über EventBridge mit dem Detailtyp „Findings Imported V2“ übermittelt.

Der erweiterte Security Hub erhält keine Erkenntnisse von Partnertools von Drittanbietern. Sie können jedoch weiterhin Security-Hub-CSPM-Integrationen mit AWS-Partnertools verwenden, um Erkenntnisse innerhalb von Security Hub CSPM zu senden, zu empfangen und zu aktualisieren. Auf diese Weise können Sie Ihre bestehenden Partnertool-Workflows beibehalten und gleichzeitig von den erweiterten Korrelations- und Priorisierungsfunktionen für die Erkenntnisse der systemeigenen Sicherheitsservices von AWS profitieren.

Nein, nur die Ressourcentypen, die von unseren Sicherheitsfunktionen (Security Hub CSPM, Amazon Inspector, GuardDuty oder Macie) bewertet werden können, sind in der Ressourcenliste verfügbar. Alle einzelnen Ressourcen innerhalb dieser Ressourcentypen sind jedoch in der Liste enthalten. Die Security-Hub-Ressourcenlistenansicht bietet ein sicherheitsorientiertes Ressourceninventar, in dem die unterstützten Ressourcen zusammen mit den zugehörigen Schwachstellen, Bedrohungen und Merkmalen angezeigt werden. Diese zielgerichtete Ansicht hilft Ihnen dabei, wichtige Ressourcen zu identifizieren und zu priorisieren, indem beispielsweise alle öffentlich zugänglichen Ressourcen in Ihrer Cloud-Umgebung angezeigt werden.

Security Hub beschleunigt die Reaktion, indem es automatisierte Workflows und die Integration in bestehende Ticketsysteme bietet und Ihnen hilft, Sicherheitsprobleme effizient zu lösen. Er nutzt das standardisierte Open Cybersecurity Schema Framework (OCSF)-Format und ermöglicht eine nahtlose Integration in Ihre vorhandenen Sicherheitstools, einschließlich SIEM-, SOAR- und Ticketsysteme. Sie können automatische Reaktionsaktionen einrichten oder Warnmeldungen in Ihren bevorzugten Kommunikationskanälen auslösen. Diese Integration hilft Ihnen, Sicherheitsprobleme effizient zu lösen, die Reaktionszeiten zu verkürzen und den manuellen Aufwand bei Ihren Sicherheitsabläufen zu minimieren.

Die Möglichkeit, verschiedene delegierte Administratoren in Security Hub zu haben, hängt von Ihrer aktuellen Konfiguration ab. Hier sind die verschiedenen Szenarien:

• Wenn Security Hub CSPM das delegierte Administratorkonto als das Verwaltungskonto der Organisation definiert hat, kann Security Hub das delegierte Administratorkonto auf ein Konto Ihrer Wahl festlegen.
• Wenn für Security Hub CSPM kein delegiertes Administratorkonto definiert ist, kann Security Hub den delegierten Administrator auf ein Konto Ihrer Wahl festlegen.
• Wenn Security Hub CSPM das delegierte Administratorkonto als ein anderes Konto als das Organisationsverwaltungskonto definiert hat, legt Security Hub das delegierte Administratorkonto automatisch auf dasselbe Konto wie Security Hub CSPM fest. Alle Änderungen am delegierten Administratorkonto für einen der Services gelten für beide Services.

Um eine konsistente Verwaltung und Zugriffskontrolle mit den geringsten Rechten aufrechtzuerhalten, empfehlen wir, denselben delegierten Administrator für alle Sicherheitsfunktionen zu verwenden, einschließlich Security Hub, Security Hub CSPM, GuardDuty, Amazon Inspector und Macie.

AWS Security Hub verwendet die Richtlinien von AWS Organizations, um die Aktivierung und Konfiguration von Security Hub in den Mitgliedskonten Ihrer Organisation zu verwalten. Sie können die zentrale Konfiguration für AWS Security Hub nicht verwenden, Sie können jedoch weiterhin die zentrale Konfiguration für AWS Security Hub CSPM verwenden.

Wenn Sie Security Hub und Security Hub CSPM zusammen verwenden, wird empfohlen, alle Automatisierungsregeln in CSPM zu Security Hub zu migrieren, wenn die Regel für die Suche nach Quellen gilt, die auch in Security Hub vorhanden sind. Dadurch wird gewährleistet, dass der endgültige Erkenntnisstatus in Security Hub sichtbar ist und dass Regeln für denselben Erkenntnistyp in CSPM und Security Hub nicht widersprüchlich verwendet werden.

CSPM ist ein Verfahren zur Identifizierung von Fehlkonfigurationen und Compliance-Risiken bei Workloads, Konten und Ressourcen, um die Sicherheit Ihrer Cloud zu gewährleisten. Security Hub CSPM ist der AWS-Service für CSP, der bewährte Sicherheitsprüfungen durchführt, Warnmeldungen sammelt und automatische Abhilfemaßnahmen für Ihre AWS-Konten, Workloads und Ressourcen ermöglicht.

Wenn Sie die Security-Hub-CSPM-Konsole zum ersten Mal öffnen, wählen Sie einfach „Erste Schritte“ und dann „Aktivieren“. Security Hub CSOPM verwendet eine mit dem Service verknüpfte Rolle, die die erforderlichen Berechtigungen und Vertrauensrichtlinien enthält, um Erkenntnisse zu erkennen und zu sammeln und die erforderliche AWS-Config-Infrastruktur zu konfigurieren, die für die Durchführung von Sicherheitsprüfungen erforderlich ist. Für viele Sicherheitskontrollen des Security Hub CSPM muss AWS Config aktiviert sein, damit Sicherheitsprüfungen in einem Konto durchgeführt werden können.

Eine Insight ist eine Sammlung verwandter Erkenntnisse. Security Hub CSPM bietet verwaltete Insights mit Hilfe von Filtern, die Sie weiter auf Ihre individuelle Umgebung abstimmen können. Insights helfen zum Beispiel dabei, Amazon Elastic Compute Cloud (Amazon EC2) Instanzen zu identifizieren, bei denen Sicherheits-Patches für wichtige Schwachstellen fehlen, oder Amazon Simple Storage Service (Amazon S3) Buckets mit öffentlichen Lese- oder Schreibrechten. Verwaltete und benutzerdefinierte Security Hub Insights helfen Ihnen, Sicherheitsprobleme in Ihrer AWS-Umgebung zu verfolgen.

Ein Sicherheitsstandard ist eine Sammlung von Kontrollen, die auf regulatorischen Rahmenbedingungen oder bewährten Verfahren der Branche basieren. Security Hub CSPM führt automatisierte Sicherheitsprüfungen anhand von Kontrollen durch. Jede Sicherheitsprüfung besteht aus der Bewertung einer Regel anhand einer einzelnen Ressource. Eine einzelne Kontrolle kann mehrere Ressourcen (etwa IAM-Benutzer) betreffen, und für jede Ressource wird eine Sicherheitsprüfung durchgeführt. Sobald Security Hub CSPM aktiviert ist, werden sofort kontinuierliche und automatisierte Sicherheitsprüfungen für jede Kontrolle und für jede relevante Ressource, die mit der Kontrolle verbunden ist, durchgeführt. Besuchen Sie die Security-Hub-CSPM-Standardreferenz für Details zu unterstützten Standards und zugehörigen Kontrollen.

Der AWS-Standard für bewährte grundlegende Sicherheitsmethoden ist eine Reihe von Kontrollen, die von AWS Security in Zusammenarbeit mit relevanten Service-Teams entwickelt wurden, die über spezifische Kenntnisse der AWS-Produkte verfügen. Diese Kontrollen erkennen, wenn Ihre AWS-Konten und -Ressourcen von den bewährten Sicherheitsverfahren abweichen. Mit dem Standard können Sie alle Ihre AWS-Konten und -Workloads kontinuierlich auswerten, um schnell Bereiche zu identifizieren, in denen von bewährten Verfahren abgewichen wird. Es bietet umsetzbare und verbindliche Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihrer Organisation. Die Kontrollen umfassen bewährte Sicherheitsverfahren für Ressourcen aus mehreren AWS-Services, und jeder Kontrolle ist eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, auf die sie sich bezieht.

Ja, sowohl Security Hub CSPM als auch AWS-Config-Conformance-Packs unterstützen die kontinuierliche Überwachung der Compliance. Die zugrunde liegenden AWS-Config-Regeln können entweder regelmäßig oder bei Erkennung von Änderungen an der Konfiguration von Ressourcen aufgerufen werden. So können Sie die Gesamtkonformität Ihrer AWS-Ressourcenkonfigurationen mit den Vorschriften und Richtlinien Ihrer Organisation kontinuierlich prüfen und bewerten.

Security Hub CSPM bietet Sicherheits- und Compliance-Lagemanagement als Service. Dabei werden AWS Config und AWS-Config-Regeln als primärer Mechanismus zur Bewertung der Konfiguration von AWS-Ressourcen verwendet. AWS-Config-Regeln können außerdem zur direkten Bewertung der Ressourcenkonfiguration genutzt werden. Sie werden auch von anderen AWS-Services wie AWS Control Tower und AWS Firewall Manager verwendet.

Wenn ein Compliance-Standard wie PCI-DSS im Security Hub CSPM bereits vorhanden ist, dann ist die vollständig verwaltete Funktion von AWS Security Hub CSPM der einfachste Weg zur Operationalisierung. Sie können Erkenntnisse über die Integration von Security Hub CSPM mit Amazon Detective untersuchen und mithilfe der Integration von Security Hub CSPM mit EventBridge automatisierte oder halbautomatisierte Abhilfemaßnahmen erstellen. Wenn Sie jedoch ihren eigenen Compliance- oder Sicherheitsstandard zusammenstellen möchten, der Prüfungen zu Sicherheit, Betriebsabläufen oder Kostenoptimierung enthält, empfehlen sich AWS Config Conformace Packs.

AWS Config-Konformitätspakete sind empfohlene Vorlagen, die Sie verwenden können, um die Verwaltung von AWS Config-Regeln zu vereinfachen, indem Sie eine Gruppe von AWS Config-Regeln und zugehörige Abhilfemaßnahmen in einer einzigen Entität bündeln. Diese Bündelung erleichtert die Bereitstellung von Regeln und Abhilfemaßnahmen im gesamten Unternehmen. Außerdem wird aggregierte Berichterstattung ermöglicht, da Compliance-Zusammenfassungen auf Pack-Ebene gemeldet werden können. Sie können mit den von uns bereitgestellten AWS Config-Konformitätsbeispielen beginnen und diese nach Belieben anpassen.

AWS Systems Manager ist die Betriebszentrale für AWS, mit der Sie Ihre Infrastruktur ganz einfach verwalten können. Systems Manager OpsCenter unterstützt IT-Betreiber und DevOps-Ingenieure bei der Diagnose und Behebung von Betriebsproblemen im Zusammenhang mit AWS-Ressourcen an einem zentralen Ort. Systems Manager Explorer ist ein Betriebs-Dashboard, das einen Überblick über Ihre Betriebsdaten in Ihren AWS-Konten und -Regionen bietet. Sicherheits- und Compliance-Experten sowie DevOps-Ingenieure nutzen Security Hub CSPM, um die Sicherheitslage ihrer AWS-Konten und -Ressourcen kontinuierlich zu überwachen und zu verbessern.

Die meisten Kunden trennen ihre Sicherheitsprobleme (etwa öffentlich zugängliche Amazon-S3-Buckets oder Krypto-Mining, das auf Amazon-EC2-Instances entdeckt wurde) und betriebliche Probleme (etwa nicht ausgelastete Amazon-Redshift-Instances oder übermäßig ausgelastete Amazon-EC2-Instances), da Sicherheitsfragen sensibel sind und in der Regel unterschiedliche Zugriffsanforderungen haben. Daher verwenden sie Security Hub, um ihre Sicherheitsprobleme zu verstehen, zu verwalten und zu beheben, und sie verwenden Systems Manager, um ihre betrieblichen Probleme zu verstehen, zu verwalten und zu beheben. Wir empfehlen auch die Verwendung von Security Hub CSPM für speziellere Einblicke in Ihre Sicherheitslage.

Wenn dieselben Techniker sowohl an Sicherheits- als auch an Betriebsfragen arbeiten, kann es hilfreich sein, sie an einem einzigen Standort zu konsolidieren. Sie können dies tun, indem Sie sich dafür entscheiden, dass Erkenntnisse an OpsCenter und Explorer gesendet werden, wo Techniker Sicherheitsprobleme und betriebliche Probleme über Systems Manager.

Security Hub analysiert Ihre Sicherheitswarnungen oder Erkenntnisse aus verschiedenen AWS-Services, darunter: AWS Config, Amazon GuardDuty, AWS-Servicestatus, Amazon Inspector, AWS Firewall Manager, AWS IAM Access Analyzer, AWS IoT Device Defender und Amazon Macie. Beachten Sie außerdem die Liste der verfügbaren Drittanbieter-Partnerprodukte, die in AWS Security Hub integriert sind und das standardisierte Format für Erkenntnisse unterstützen.

Der Einstieg in den erweiterten Security Hub ist einfach, vor allem, wenn Sie andere AWS-Sicherheitsservices nutzen. Der erweiterte Security Hub bietet eine einheitliche Aktivierung mit nur einem Klick für alle Regionen und Konten, wodurch die Komplexität der Konfiguration reduziert wird. Wenn Sie Security Hub aktivieren, werden automatisch sowohl seine grundlegenden Services als auch zusätzliche Services aktiviert: Security Hub CSPM für das Statusmanagement und Amazon-Inspector-Funktionen (Amazon EC2-Scannen, Amazon ECR-Scannen und AWS Lambda-Standardscannen) für das Schwachstellenmanagement, Amazon GuardDuty für die Bedrohungserkennung und Amazon Macie für die Erkennung sensibler Daten. Diese einheitliche Aktivierung bietet eine vollständige Sicherheitsabdeckung und ermöglicht es Ihnen, die automatisierten Korrelationsfunktionen von Security Hub voll auszuschöpfen. Sie können den erweiterten Security Hub über die neu gestaltete Konsole oder APIs aktivieren. Der Prozess ist so konzipiert, dass er reibungslos abläuft, sodass Sie einen besseren Überblick über Ihre Sicherheitslage erhalten, ohne Ihren aktuellen Betrieb zu stören.

Ja, Sie können Security Hub CSPM weiterhin verwenden, wenn Ihr Hauptbedürfnis darin besteht, Ihre AWS-Ressourcen anhand bewährter Sicherheitsmethoden zu bewerten. Wir empfehlen jedoch, den erweiterten Security Hub zu erkunden, um Prioritäten zu setzen und Ihnen zu helfen, Ihre kritischen Sicherheitsprobleme in großem Umfang zu lösen. Der erweiterte Security Hub korreliert und bereichert automatisch Sicherheitssignale über mehrere Funktionen hinweg, wandelt sie in umsetzbare Erkenntnisse um und bietet automatisierte Reaktionsabläufe. Dies hilft Ihnen, Sicherheitsrisiken zu reduzieren, die Produktivität Ihres Teams zu verbessern und potenzielle Betriebsunterbrechungen zu minimieren, während Sie gleichzeitig einen umfassenden Überblick über Ihre Sicherheitslage behalten. 

Ja. Security Hub CSPM erstellt eine Wertung, die Ihnen zeigt, wie Sie im Vergleich zu den Sicherheitsstandards abschneiden, und zeigt sie auf dem Haupt-Dashboard von Security Hub an. Wenn Sie sich den Sicherheitsstandard ansehen, erhalten Sie eine Zusammenfassung der Kontrollen, die überprüft werden müssen. Security Hub CSPM zeigt, wie die Kontrolle bewertet wurde, und informiert über bewährte Verfahren zur Minderung des Problems.

Nein. Security Hub CSPM konzentriert sich auf automatisierte Sicherheitsprüfungen. Die meisten Sicherheitsstandards verfügen über verschiedene Kontrollen, die nicht automatisch überprüft werden können, und diese liegen außerhalb des Zuständigkeitsbereichs von Security Hub CSPM. Die Sicherheitsprüfungen von Security Hub CSPM können Ihnen bei der Vorbereitung auf eine Prüfung helfen, bedeuten jedoch nicht, dass Sie eine Prüfung im Zusammenhang mit dem Sicherheitsstandard bestehen würden.

Ja. Mit Security Hub CSPM können Sie Ihre Sicherheitsprüfungen an die spezifischen Anforderungen Ihres Unternehmens anpassen. Dies kann durch Anpassen der Parameter erfolgen. Sie können beispielsweise festlegen, was ein starkes IAM-Passwort ausmacht oder wie lange ungenutzte Anmeldeinformationen maximal gespeichert werden dürfen bzw. wie lange ungenutzte Instances maximal aktiv sein dürfen.

Security Hub CSPM unterstützt CIS AWS Foundations Benchmark v1.2.0 und v1.4.0. Die Dokumentation des Security Hub CSPM enthält Einzelheiten zu den spezifischen Kontrollen und dazu, wie jede Prüfung den spezifischen Anforderungen des CIS AWS Foundations Benchmark entspricht.

Der Payment Card Industry Data Security Standard (PCI DSS) in Security Hub CSPM besteht aus einer Reihe von AWS-Kontrollen für bewährte Sicherheitsverfahren. Jede Kontrolle gilt für eine bestimmte AWS-Ressource und bezieht sich auf eine oder mehrere Anforderungen von PCI DSS. Security Hub CSPM unterstützt jetzt sowohl PCI DSS Version 3.2.1 als auch Version 4.0.1. Die Dokumentation des Security Hub CSPM enthält Einzelheiten dazu, wie die Prüfungen des PCI DSS von Security Hub CSPM den spezifischen Anforderungen des PCI DSS entsprechen.

Ja, Sie können sowohl Security Hub als auch Security Hub CSPM gleichzeitig verwenden. Der erweiterte Security Hub ist eine einheitliche Cloud-Sicherheitslösung, die Kernservices (Security Hub CSPM und Amazon Inspector) umfasst und in zusätzliche Services (Amazon GuardDuty und Amazon Macie) integriert ist, um Sie beim Schutz Ihrer Cloud-Umgebung zu unterstützen. Sie können zwar wählen, welche Services Sie aktivieren möchten, wir empfehlen jedoch, die vollständige, einheitliche Lösung zu verwenden, um Ihre kritischen Sicherheitsprobleme mithilfe automatisierter Korrelation und eines verbesserten Kontextes zwischen Sicherheitssignalen in großem Umfang zu priorisieren und darauf zu reagieren.