Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub
Wir empfehlen, einige AWS Security Hub Steuerungen zu deaktivieren, um den Suchlärm zu reduzieren und die Kosten zu begrenzen.
Steuerungen, die globale Ressourcen verwenden
Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchgeräusch zu reduzieren und die Kosten für Security Hub zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.
Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:
Alle CloudFront Steuerelemente — Nur in USA Ost (Nord-Virginia) verfügbar
GlobalAccelerator.1 — Nur in den USA West (Oregon) verfügbar
Route 53.2 — Nur in den USA Ost (Nord-Virginia) verfügbar
WAF.1, WAF .6, WAF .7 und WAF .8 — Nur in USA Ost (Nord-Virginia) verfügbar
Anmerkung
Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren. Wenn Sie die zentrale Konfiguration verwenden, fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist. Weitere Informationen zur zentralen Konfiguration finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.
Bei Kontrollen mit einem periodischen Zeitplan ist es erforderlich, sie in Security Hub zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters includeGlobalResourceTypes
auf false
hat keinen Einfluss auf regelmäßige Security Hub-Steuerungen.
Im Folgenden finden Sie eine Liste von Security Hub-Steuerelementen, die globale Ressourcen verwenden:
-
[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
-
[Konto.2] AWS-Konten sollte Teil eines sein AWS Organizations Organisation
-
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
-
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
-
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
-
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
-
[CloudFront.6] CloudFront Distributionen sollten aktiviert worden sein WAF
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL /-Zertifikate verwenden TLS
-
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
-
[EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert werden
-
[IAM.1] IAM Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM Benutzern sollten keine IAM Richtlinien angehängt werden
-
[IAM.3] IAM Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden
-
[IAM.4] Der IAM Root-Benutzerzugriffsschlüssel sollte nicht existieren
-
[IAM.5] MFA sollte für alle IAM Benutzer aktiviert sein, die ein Konsolenpasswort haben
-
[IAM.6] Die Hardware MFA sollte für den Root-Benutzer aktiviert sein
-
[IAM.7] Die Passwortrichtlinien für IAM Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Passwortrichtlinien für IAM Benutzer sollten strenge AWS Config Laufzeiten haben
-
[IAM.14] Stellen Sie sicher, dass die IAM Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.22] IAM Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[IAM.26] AbgelaufeneSSL//In verwaltete TLS Zertifikate IAM sollten entfernt werden
-
[IAM.27] IAM Identitäten sollte die Richtlinie nicht beigefügt sein AWSCloudShellFullAccess
-
[IAM.28] IAM Der externe Access Analyzer von Access Analyzer sollte aktiviert sein
-
[Route 53.2] Öffentliche, gehostete Zonen in Route 53 sollten Abfragen protokollieren DNS
-
[WAF.1] AWS WAF Die klassische globale ACL Webprotokollierung sollte aktiviert sein
-
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
-
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
-
[WAF.8] AWS WAF Das klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
-
[WAF.11] AWS WAF Die ACL Webprotokollierung sollte aktiviert sein
CloudTrail Steuerelemente zur Protokollierung
Dieses Steuerelement befasst sich mit der Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Steuerung nur in dem Konto und der Region aktivieren, in der die zentrale Protokollierung stattfindet.
Anmerkung
Wenn Sie die zentrale Konfiguration verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. Unterdrücken Sie in diesem Fall die Ergebnisse der folgenden Steuerelemente, um das Suchrauschen zu reduzieren.
CloudWatch Alarme, Steuerungen
Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie diese Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren.