iT邦幫忙

2021 iThome 鐵人賽

DAY 19
0
Security

你用雲端,還敢談資安?AWS資安服務佈署之路系列 第 19

Day 19: Security Hub 單一帳號/啟用Org.後的佈建

在佈建Security Hub前必須注意的事項
因為Security Hub是一項匯集所有資安服務調查結果的服務,這也包含了多個帳號,若您的公司有多個AWS帳戶,AWS強烈建議您啟用AWS Organization搭配Security Hub一起服用。

上一篇有提到Security Hub必須透過AWS Config來記錄資安項目是否偏離資安最佳實踐,所以你也必須在你的每個帳號啟用AWS Config然後將Security Hub檢查的權限啟用,如果沒啟用Security Hub就會出現錯誤訊息。如果想要知道Config如何佈建,可以回去看Day 17的文章?。

如何手動佈建Security Hub?
我們先說明如果你沒有啟用AWS Organization要怎樣佈建Security Hub

1.你必須要給Security Hub AWSSecurityHubFullAccess IAM權限並套用到user、group、role,Policy如下:

{ “Version”: “2012–10–17”,
    “Statement”: [
        { “Effect”: “Allow”,
        “Action”: “securityhub:*”,
        “Resource”: “*” },
        { “Effect”: “Allow”,
        “Action”: “iam:CreateServiceLinkedRole”,
        “Resource”: “*”,
        “Condition”: {
        “StringLike”: {
        “iam:AWSServiceName”: “securityhub.amazonaws.com”
            }
        }
    }
    ]
}

2.找到Security Hub,並按下Go to Security Hub
https://ithelp.ithome.com.tw/upload/images/20211001/2012461045ZkYoR6hV.png

3.如前面所述,你必須要先啟用Config來記錄,除了手動啟用之外,這裡也提供CloudFormation template StackSet提供下載
https://ithelp.ithome.com.tw/upload/images/20211001/20124610mn3ZYG2TCj.png

4.這裡勾選想啟用的資安標準,勾選完成後按Enable Security Hub,就完成了,這時候Security Hub就會開始收集此帳號所有的資安相關訊息
https://ithelp.ithome.com.tw/upload/images/20211001/20124610LHLui6EPGT.png

如果是已經啟用AWS Organization,如何佈建Security Hub?
https://ithelp.ithome.com.tw/upload/images/20211001/20124610qiUX2E5VmN.png

如上圖所示,左邊為AWS Organization的帳號階級圖,帳號1為Org.的管理帳號,帳號1可以指派任何在Org.裡面的帳號成為Security Hub的管理帳號。然而,Security Hub建議不要將Org.的管理帳號也是Security Hub的管理帳號,因為有權限看billing的趙號不一定也會想要管理資安相關資訊。

在指派Security Hub管理帳號時,每個Region被指派的管理帳號一定要是同一個,但Org.的管理帳號必須進入每個Region分別指派。在移除時如果透過Console,Org.的管理帳號只要移除其中一個Region的Security Hub管理帳號,全部都會被移除。如果是透過API,只會移除在那個Region被執行的帳戶,要全部移除請用Org. API。
指定管理帳號的步驟:

1.在Security Hub側邊選單選settings
https://ithelp.ithome.com.tw/upload/images/20211001/20124610LDFezBilJb.png

2.選擇General
https://ithelp.ithome.com.tw/upload/images/20211001/20124610Q0ysSsZCcU.png

3.在Delegated Administrator欄位輸入你想指派為管理員的Account ID,記得每個region的管理者必須是同一位,不然會出現錯誤訊息,知後按下Delegate就完成了
https://ithelp.ithome.com.tw/upload/images/20211001/20124610qRPMAePasw.png


上一篇
Day 18: Security Hub簡介
下一篇
Day 20: Security Hub 新帳號加入、Insight設定
系列文
你用雲端,還敢談資安?AWS資安服務佈署之路30

尚未有邦友留言

立即登入留言