CSPM (Cloud Security Posture Management,雲端安全態勢管理) 是一個資安領域的術語,指的是 「持續自動化地監控雲端環境,發現並修復安全設定錯誤 (Misconfigurations) 與合規性風險」。
在 AWS 的生態系中,實現 CSPM 的核心服務就是 AWS Security Hub。
以下是針對 AWS CSPM 解決方案(以 Security Hub 為主)的重點整理:1. 核心服務:AWS Security Hub
AWS Security Hub 是 AWS 官方的 CSPM 工具。
一句話總結:它是你的「資安指揮中心」。它會收集所有 AWS 資安服務(如 GuardDuty, Inspector, Macie)的偵測結果,並自動檢查你的 AWS 設定是否符合資安標準(如 CIS, PCI DSS),最後給你一個「安全分數」。
主要功能 (Key Features)
- 集中式儀表板 (Single Pane of Glass):將來自 GuardDuty, Inspector, Macie, IAM Access Analyzer, Firewall Manager 甚至第三方工具(如 Palo Alto, CrowdStrike)的警報全部彙整在同一個介面上。你不需要切換十幾個分頁,就能看到整個帳號的安全狀況。
- 自動化合規檢查 (Automated Security Checks):這是 CSPM 的靈魂。Security Hub 會根據業界標準自動掃描你的資源。支援的標準:AWS Foundational Security Best Practices (AWS 基礎安全最佳實踐)。CIS AWS Foundations Benchmark (CIS 基準)。PCI DSS (支付卡產業安全標準)。例子:它會檢查「你的 S3 Bucket 是否有加密?」、「你的 Security Group 是否開放了 Port 22?」。
- 安全評分 (Security Score):它會給你一個 0~100% 的分數,讓高層主管一眼就知道現在環境安不安全。
- 自動修復 (Automated Remediation):結合 Amazon EventBridge 和 AWS Lambda。流程:Security Hub 發現 "S3 Public Read" →→ 觸發 EventBridge →→ 啟動 Lambda →→ Lambda 自動關閉 S3 Public Access。
2. 底層引擎:AWS Config
這是一個非常重要的考點與觀念:Security Hub 是依賴 AWS Config 運作的。
- AWS Config:負責「記錄」資源的設定與歷史變化(例如:記錄這個 S3 Bucket 在昨天被改成了公開)。
- Security Hub:負責「分析」Config 的紀錄,判斷這樣改是對的還是錯的(例如:判斷 S3 公開是「違規」的)。
注意:如果要啟用 Security Hub 的自動檢查功能,你必須先啟用 AWS Config。
3. CSPM 生態系:偵測 vs. 管理
在 AWS 資安架構中,容易混淆的服務比較:
4. 考試/實務 關鍵字 (Keywords)
- "Centralized view of security alerts" (集中檢視資安警報)。
- "Check against CIS benchmarks / PCI DSS" (檢查是否符合 CIS/PCI 標準)。
- "Misconfiguration detection" (偵測設定錯誤)。
- "Security Score" (安全評分)。
- "Aggregated findings" (彙整發現結果)。
- "Continuous compliance" (持續合規性)。
總結
如果題目問:「公司需要一個單一儀表板來監控所有 AWS 帳號的合規性狀態,並檢查是否有設定錯誤(如 S3 未加密、MFA 未開啟)」,答案就是 AWS Security Hub。
