Bewährte Methoden für die Konfiguration von Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Konfiguration von Security Hub

Die folgenden bewährten Methoden können Ihnen dabei helfen, das Beste aus der Verwendung herauszuholen AWS Security Hub.

Integration von Security Hub und AWS Organizations

AWS Organizations ist ein globaler Kontoverwaltungsdienst, der Folgendes ermöglicht AWS Administratoren zur Konsolidierung und zentralen Verwaltung mehrerer AWS-Konten und Organisationseinheiten (OUs). Es bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die speziell auf Budgets, Sicherheit und Einhaltung gesetzlicher Vorschriften zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS-Services, einschließlich Security Hub GuardDuty, Amazon und Amazon Macie.

Um die Verwaltung von Konten zu automatisieren und zu optimieren, empfehlen wir dringend die Integration von Security Hub und AWS Organizations. Sie können sich in Organizations integrieren, wenn Sie mehr als eine haben AWS-Konto das Security Hub verwendet.

Anweisungen zur Aktivierung der Integration finden Sie unterIntegration von Security Hub mit AWS Organizations.

Verwenden der zentralen Konfiguration

Wenn Sie Security Hub and Organizations integrieren, haben Sie die Möglichkeit, eine Funktion namens zentrale Konfiguration zu verwenden, um Security Hub für Ihr Unternehmen einzurichten und zu verwalten. Wir empfehlen dringend, die zentrale Konfiguration zu verwenden, da der Administrator so den Sicherheitsschutz für das Unternehmen anpassen kann. Gegebenenfalls kann der delegierte Administrator einem Mitgliedskonto gestatten, seine eigenen Sicherheitseinstellungen zu konfigurieren.

Die zentrale Konfiguration ermöglicht es dem delegierten Administrator, Security Hub kontenübergreifend zu konfigurierenOUs, und AWS-Regionen. Der delegierte Administrator konfiguriert Security Hub, indem er Konfigurationsrichtlinien erstellt. In einer Konfigurationsrichtlinie können Sie die folgenden Einstellungen angeben:

  • Ob Security Hub aktiviert oder deaktiviert ist

  • Welche Sicherheitsstandards sind aktiviert und deaktiviert

  • Welche Sicherheitskontrollen sind aktiviert und deaktiviert

  • Ob Parameter für ausgewählte Steuerelemente angepasst werden sollen

Als delegierter Administrator können Sie eine einzige Konfigurationsrichtlinie für Ihre gesamte Organisation oder verschiedene Konfigurationsrichtlinien für Ihre verschiedenen Konten und OUs erstellen. Beispielsweise können Testkonten und Produktionskonten unterschiedliche Konfigurationsrichtlinien verwenden.

MitgliedskontenOUs, die eine Konfigurationsrichtlinie verwenden, werden zentral verwaltet und können nur vom delegierten Administrator konfiguriert werden. Der delegierte Administrator kann bestimmte Mitgliedskonten OUs als selbstverwaltete Konten festlegen, sodass das Mitglied seine eigenen Einstellungen für jede Region konfigurieren kann.

Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als lokale Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub und eine begrenzte Anzahl von Sicherheitsstandards in neuen Unternehmenskonten in der aktuellen Region automatisch aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

Weitere Informationen zur zentralen Konfiguration finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.

Konfigurieren AWS Config für Security Hub

AWS Security Hub verwendet serviceverknüpfte AWS Config Regeln zur Durchführung von Sicherheitsüberprüfungen und zur Erstellung von Ergebnissen für die meisten Kontrollen. Um die Ergebnisse der Kontrollen zu erhalten, AWS Config muss in jedem Fall in Ihrem Konto aktiviert sein AWS-Region wo Security Hub aktiviert ist. Wenn Ihr Konto Teil einer Organisation ist, AWS Config muss in jeder Region im Administratorkonto und in allen Mitgliedskonten aktiviert sein. Wenn Sie einen Sicherheitsstandard aktivieren, AWS Config muss so konfiguriert sein, dass die erforderlichen Ressourcen für aktivierte Steuerelemente, die Teil des Standards sind, aufgezeichnet werden.

Wir empfehlen dringend, dass Sie die Ressourcenaufzeichnung in aktivieren AWS Config bevor Sie die Security Hub Hub-Standards aktivieren. Wenn Security Hub versucht, Sicherheitsüberprüfungen durchzuführen, obwohl die Ressourcenaufzeichnung ausgeschaltet ist, geben die Prüfungen Fehler zurück, bis Sie AWS Config und schalten Sie die Ressourcenaufzeichnung ein.

Security Hub verwaltet nicht AWS Config für dich. Wenn du es schon hast AWS Config aktiviert, können Sie seine Einstellungen über den AWS Config Konsole oderAPIs.

Wenn Sie einen Standard aktivieren, ihn aber noch nicht aktiviert haben AWS Config, Security Hub versucht das zu erstellen AWS Config Regeln gemäß dem folgenden Zeitplan:

  • An dem Tag, an dem Sie den Standard aktivieren

  • Am Tag, nachdem Sie den Standard aktiviert haben

  • 3 Tage, nachdem Sie den Standard aktiviert haben

  • 7 Tage nach der Aktivierung des Standards (und danach kontinuierlich alle 7 Tage)

Wenn Sie die zentrale Konfiguration verwenden, versucht Security Hub auch, die AWS Config Regeln jedes Mal, wenn Sie eine Konfigurationsrichtlinie anwenden, die einen oder mehrere Standards mit Konten, Organisationseinheiten (OUs) oder dem Stamm aktiviert.

Aktivieren AWS Config

Wenn Sie es nicht aktiviert haben AWS Config Sie können es bereits auf eine der folgenden Arten aktivieren:

  • Konsole oder AWS CLI— Sie können manuell aktivieren AWS Config mit dem AWS Config Konsole oder AWS CLI. Siehe Erste Schritte mit AWS Config in der AWS Config Leitfaden für Entwickler.

  • AWS CloudFormation Vorlage — Wenn Sie aktivieren möchten AWS Config für eine große Anzahl von Konten können Sie Folgendes aktivieren AWS Config mit der CloudFormation Vorlage Enable AWS Config. Informationen zum Zugriff auf diese Vorlage finden Sie unter AWS CloudFormation StackSets Beispielvorlagen in der AWS CloudFormation Benutzerleitfaden.

  • Github-Skript — Security Hub bietet ein GitHub Skript, das Security Hub für mehrere Konten in verschiedenen Regionen aktiviert. Dieses Skript ist nützlich, wenn Sie keine Integration mit Organizations haben oder wenn Sie Konten haben, die nicht Teil Ihrer Organisation sind. Wenn Sie dieses Skript verwenden, um Security Hub zu aktivieren, wird es auch automatisch aktiviert AWS Config für diese Konten.

Weitere Informationen zur Aktivierung AWS Config Informationen zur Durchführung von Security Hub-Sicherheitsprüfungen finden Sie unter Optimieren AWS Config for AWS Security Hub um Ihren Cloud-Sicherheitsstatus effektiv zu verwalten.

Einschalten der Ressourcenaufzeichnung in AWS Config

Wenn Sie die Ressourcenaufzeichnung mit den Standardeinstellungen aktivieren, AWS Config zeichnet alle unterstützten Typen von regionalen Ressourcen auf, die es in der AWS-Region in dem es läuft. Sie können auch konfigurieren AWS Config um unterstützte Typen globaler Ressourcen aufzuzeichnen. Sie müssen globale Ressourcen nur in einer einzigen Region aufzeichnen (wir empfehlen, dass dies Ihre Heimatregion ist, wenn Sie die zentrale Konfiguration verwenden).

Wenn Sie CloudFormation StackSets zur Aktivierung verwenden AWS Config, wir empfehlen, dass Sie zwei verschiedene ausführen StackSets. Führen Sie einen aus, StackSet um alle Ressourcen, einschließlich globaler Ressourcen, in einer einzigen Region aufzuzeichnen. Führen Sie einen zweiten StackSet Vorgang aus, um alle Ressourcen außer globalen Ressourcen in anderen Regionen aufzuzeichnen.

Sie können auch Quick Setup verwenden, eine Funktion von AWS Systems Manager, um die Ressourcenaufzeichnung schnell zu konfigurieren in AWS Config über Ihre Konten und Regionen hinweg. Während des Schnelleinrichtungsprozesses können Sie auswählen, in welcher Region Sie globale Ressourcen aufzeichnen möchten. Weitere Informationen finden Sie unter AWS Config Konfigurationsrekorder im AWS Systems Manager Benutzerleitfaden.

Die Sicherheitskontrolle Config.1 generiert fehlgeschlagene Ergebnisse für Regionen, bei denen es sich nicht um verknüpfte Regionen in einem Aggregator handelt (die Heimatregion und Regionen sind insgesamt nicht in einem Ergebnisaggregator enthalten), wenn diese Region nicht aufzeichnet AWS Identity and Access Management (IAM) globale Ressourcen und hat Kontrollen aktiviert, für die IAM globale Ressourcen aufgezeichnet werden müssen. In verknüpften Regionen überprüft Config.1 nicht, ob IAM globale Ressourcen aufgezeichnet wurden. Eine Liste der Ressourcen, die jedes Steuerelement benötigt, finden Sie unterErforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle.

Wenn Sie das Skript für mehrere Konten verwenden, um Security Hub zu aktivieren, aktiviert es automatisch die Ressourcenaufzeichnung für alle Ressourcen, einschließlich globaler Ressourcen, in allen Regionen. Anschließend können Sie die Konfiguration so aktualisieren, dass globale Ressourcen nur in einer einzigen Region aufgezeichnet werden. Weitere Informationen finden Sie unter Welche Ressourcen auswählen AWS Config Aufzeichnungen in der AWS Config Leitfaden für Entwickler.

Damit Security Hub die Ergebnisse von Kontrollen, die sich auf Folgendes stützen, korrekt melden kann AWS Config Nach den Regeln müssen Sie die Aufzeichnung für die entsprechenden Ressourcen aktivieren. Für eine Liste der Steuerelemente und der zugehörigen AWS Config Ressourcen finden Sie unterErforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle.AWS Config ermöglicht es Ihnen, zwischen kontinuierlicher Aufzeichnung und täglicher Aufzeichnung von Änderungen des Ressourcenstatus zu wählen. Wenn Sie sich für die tägliche Aufnahme entscheiden, AWS Config liefert am Ende jedes 24-Stunden-Zeitraums Ressourcenkonfigurationsdaten, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub Hub-Ergebnissen für durch Änderungen ausgelöste Kontrollen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist.

Anmerkung

Um nach Sicherheitsprüfungen neue Ergebnisse zu generieren und veraltete Ergebnisse zu vermeiden, benötigen Sie ausreichende Berechtigungen für die IAM Rolle, die dem Konfigurationsrekorder zugewiesen ist, um die zugrunde liegenden Ressourcen auszuwerten.

Kostenüberlegungen

Informationen zu den Kosten, die mit der Erfassung von Ressourcen verbunden sind, finden Sie unter AWS Security Hub Preisgestaltung und AWS Config Preisgestaltung.

Security Hub kann sich auf Ihre auswirken AWS Config Kosten für den Konfigurationsrekorder, wenn das AWS::Config::ResourceCompliance Konfigurationselement aktualisiert wird. Updates können jedes Mal erfolgen, wenn ein Security Hub-Steuerelement mit einem verknüpft ist AWS Config Die Regel ändert den Konformitätsstatus, ist aktiviert oder deaktiviert oder enthält Parameteraktualisierungen. Wenn Sie das AWS Config Konfigurationsrekorder nur für Security Hub. Verwenden Sie dieses Konfigurationselement nicht für andere Zwecke. Wir empfehlen, die Aufzeichnung dafür in der AWS Config Konsole oder AWS CLI. Das kann deine reduzieren AWS Config Kosten. Sie müssen keine Aufzeichnungen machen, damit AWS::Config::ResourceCompliance die Sicherheitschecks in Security Hub funktionieren.