Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsstandards aktivieren und deaktivieren
Sie können jeden Sicherheitsstandard, der in Security Hub verfügbar ist, aktivieren oder deaktivieren.
Bevor Sie Sicherheitsstandards aktivieren, stellen Sie sicher, dass Sie die Ressourcenaufzeichnung aktiviert AWS Config und konfiguriert haben. Andernfalls ist Security Hub möglicherweise nicht in der Lage, Ergebnisse für die Kontrollen zu generieren, die für einen Standard gelten. Weitere Informationen finden Sie unter Konfiguration AWS Config.
Anmerkung
Die Anweisungen zum Aktivieren und Deaktivieren von Standards variieren je nachdem, ob Sie die zentrale Konfiguration verwenden oder nicht. In diesem Abschnitt werden die Unterschiede beschrieben. Die zentrale Konfiguration steht Benutzern zur Verfügung, die Security Hub und integrieren AWS Organizations. Wir empfehlen die zentrale Konfiguration, um das Aktivieren und Deaktivieren von Standards in Umgebungen mit mehreren Konten und mehreren Regionen zu vereinfachen.
Aktivierung eines Sicherheitsstandards
Wenn Sie einen Sicherheitsstandard aktivieren, werden alle Steuerelemente, die für den Standard gelten, darin automatisch aktiviert. Security Hub beginnt auch damit, Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.
Sie können in jedem Standard auswählen, welche Steuerelemente aktiviert und deaktiviert werden sollen. Wenn Sie ein Steuerelement deaktivieren, werden keine Ergebnisse für das Steuerelement generiert, und das Steuerelement wird bei der Berechnung der Sicherheitsbewertungen ignoriert.
Wenn Sie Security Hub aktivieren, berechnet Security Hub innerhalb von 30 Minuten nach Ihrem ersten Besuch der Übersichtsseite oder der Seite Sicherheitsstandards in der Security Hub-Konsole die anfängliche Sicherheitsbewertung für einen Standard. In den Regionen China und kann es bis zu 24 Stunden dauern, bis zum ersten Mal Sicherheitsbewertungen generiert werden. AWS GovCloud (US) Region Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten besuchen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert sein, damit Ergebnisse angezeigt werden. Nach der erstmaligen Generierung des Scores aktualisiert Security Hub den Sicherheits-Score alle 24 Stunden. Security Hub zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde. Rufen Sie die API auf, um eine Liste der Standards einzusehen, die derzeit in Ihrem Konto aktiviert sind. GetEnabledStandards
Aktivierung eines Standards für mehrere Konten und Regionen
Um einen Sicherheitsstandard für mehrere Konten und zu aktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass in einer Organisationseinheit nur die Best Practices (FSBP) von AWS Foundational Security (FSBP) aktiviert werden, und Sie können wählen, ob FSBP und Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 in einer anderen Organisationseinheit aktiviert werden sollen. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards aktiviert, finden Sie unter Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen
Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen definiert der delegierte Administrator bei der Erstellung einer Konfigurationsrichtlinie, welche Standards für verschiedene Konten aktiviert werden sollen. Security Hub bietet eine empfohlene Konfigurationsrichtlinie, in der nur FSBP aktiviert ist. Weitere Informationen finden Sie unter Arten von Konfigurationsrichtlinien.
Anmerkung
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer Service-Managed Standard zu aktivieren:. AWS Control Tower Sie können diesen Standard nur im Service aktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.
Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.
Aktivierung eines Standards in einem einzigen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder wenn Sie ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzigen Konto und einer Region zu aktivieren.
Automatische Aktivierung der Standardsicherheitsstandards
Wenn Sie keine zentrale Konfiguration verwenden, aktiviert Security Hub automatisch Standardsicherheitsstandards für neue Konten, wenn diese Ihrer Organisation beitreten. Alle Kontrollen, die Teil der Standardstandards sind, werden ebenfalls automatisch aktiviert. Derzeit sind die Standardsicherheitsstandards, die automatisch aktiviert werden, AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Sie können automatisch aktivierte Standards deaktivieren, wenn Sie es vorziehen, Standards in neuen Konten manuell zu aktivieren.
Wenn Sie die zentrale Konfiguration verwenden, können Sie eine Konfigurationsrichtlinie erstellen, die die Standardstandards aktiviert, und diese Richtlinie dem Stammverzeichnis zuordnen. Alle Unternehmenskonten und Organisationseinheiten übernehmen diese Konfigurationsrichtlinie, sofern sie nicht mit einer anderen Richtlinie verknüpft sind oder selbst verwaltet werden.
Schalten Sie automatisch aktivierte Standards aus
Die folgenden Schritte gelten nur, wenn Sie die zentrale Konfiguration integrieren, diese AWS Organizations aber nicht verwenden. Wenn Sie die Organisationsintegration nicht verwenden, können Sie einen Standardstandard deaktivieren, wenn Sie Security Hub zum ersten Mal aktivieren, oder Sie können die Schritte zur Deaktivierung eines Standards befolgen.
Einen Sicherheitsstandard deaktivieren
Wenn Sie einen Sicherheitsstandard in Security Hub deaktivieren, passiert Folgendes:
-
Alle Kontrollen, die für den Standard gelten, sind ebenfalls deaktiviert, sofern sie nicht mit einem anderen Standard verknüpft sind.
-
Prüfungen auf die deaktivierten Steuerelemente werden nicht mehr durchgeführt, und es werden keine weiteren Ergebnisse für die deaktivierten Steuerelemente generiert.
-
Bestehende Ergebnisse für deaktivierte Kontrollen werden nach etwa 3—5 Tagen automatisch archiviert.
-
Die AWS Config Regeln, die Security Hub für die deaktivierten Steuerelemente erstellt hat, wurden entfernt.
Dies geschieht normalerweise innerhalb weniger Minuten, nachdem Sie den Standard deaktiviert haben, kann aber länger dauern. Wenn die erste Anfrage zum Löschen der AWS Config Regeln fehlschlägt, versucht Security Hub es alle 12 Stunden erneut. Wenn Sie Security Hub jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub die Anfrage nicht erneut versuchen, was bedeutet, dass die AWS Config Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie AWS Config Regeln löschen müssen, wenden AWS Support Sie sich an.
Deaktivierung eines Standards für mehrere Konten und Regionen
Um einen Sicherheitsstandard für mehrere Konten und Regionen zu deaktivieren, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Sie können eine Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCI DSS) in einer Organisationseinheit und sowohl PCI DSS als auch SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) in einer anderen Organisationseinheit zu deaktivieren. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards deaktiviert, finden Sie unter. Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen
Anmerkung
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer dem Service-Managed Standard zu deaktivieren:. AWS Control Tower Sie können diesen Standard nur im Service deaktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.
Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.
Deaktivierung eines Standards in einem einzelnen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzelnen Konto und einer Region zu deaktivieren.