Sicherheitsstandards aktivieren und deaktivieren - AWS Security Hub
Aktivierung eines SicherheitsstandardsEinen Sicherheitsstandard deaktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsstandards aktivieren und deaktivieren

Sie können jeden Sicherheitsstandard, der in Security Hub verfügbar ist, aktivieren oder deaktivieren.

Bevor Sie Sicherheitsstandards aktivieren, stellen Sie sicher, dass Sie die Ressourcenaufzeichnung aktiviert AWS Config und konfiguriert haben. Andernfalls ist Security Hub möglicherweise nicht in der Lage, Ergebnisse für die Kontrollen zu generieren, die für einen Standard gelten. Weitere Informationen finden Sie unter Konfiguration AWS Config.

Anmerkung

Die Anweisungen zum Aktivieren und Deaktivieren von Standards variieren je nachdem, ob Sie die zentrale Konfiguration verwenden oder nicht. In diesem Abschnitt werden die Unterschiede beschrieben. Die zentrale Konfiguration steht Benutzern zur Verfügung, die Security Hub und integrieren AWS Organizations. Wir empfehlen die zentrale Konfiguration, um das Aktivieren und Deaktivieren von Standards in Umgebungen mit mehreren Konten und mehreren Regionen zu vereinfachen.

Aktivierung eines Sicherheitsstandards

Wenn Sie einen Sicherheitsstandard aktivieren, werden alle Steuerelemente, die für den Standard gelten, darin automatisch aktiviert. Security Hub beginnt auch damit, Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.

Sie können in jedem Standard auswählen, welche Steuerelemente aktiviert und deaktiviert werden sollen. Wenn Sie ein Steuerelement deaktivieren, werden keine Ergebnisse für das Steuerelement generiert, und das Steuerelement wird bei der Berechnung der Sicherheitsbewertungen ignoriert.

Wenn Sie Security Hub aktivieren, berechnet Security Hub innerhalb von 30 Minuten nach Ihrem ersten Besuch der Übersichtsseite oder der Seite Sicherheitsstandards in der Security Hub-Konsole die anfängliche Sicherheitsbewertung für einen Standard. In den Regionen China und kann es bis zu 24 Stunden dauern, bis zum ersten Mal Sicherheitsbewertungen generiert werden. AWS GovCloud (US) Region Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten besuchen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert sein, damit Ergebnisse angezeigt werden. Nach der erstmaligen Generierung des Scores aktualisiert Security Hub den Sicherheits-Score alle 24 Stunden. Security Hub zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde. Rufen Sie die API auf, um eine Liste der Standards einzusehen, die derzeit in Ihrem Konto aktiviert sind. GetEnabledStandards

Aktivierung eines Standards für mehrere Konten und Regionen

Um einen Sicherheitsstandard für mehrere Konten und zu aktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass in einer Organisationseinheit nur die Best Practices (FSBP) von AWS Foundational Security (FSBP) aktiviert werden, und Sie können wählen, ob FSBP und Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 in einer anderen Organisationseinheit aktiviert werden sollen. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards aktiviert, finden Sie unter Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen

Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen definiert der delegierte Administrator bei der Erstellung einer Konfigurationsrichtlinie, welche Standards für verschiedene Konten aktiviert werden sollen. Security Hub bietet eine empfohlene Konfigurationsrichtlinie, in der nur FSBP aktiviert ist. Weitere Informationen finden Sie unter Arten von Konfigurationsrichtlinien.

Anmerkung

Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer Service-Managed Standard zu aktivieren:. AWS Control Tower Sie können diesen Standard nur im Service aktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.

Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.

Aktivierung eines Standards in einem einzigen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder wenn Sie ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzigen Konto und einer Region zu aktivieren.

Security Hub console
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Vergewissern Sie sich, dass Sie Security Hub in der Region verwenden, in der Sie den Standard aktivieren möchten.

  3. Wählen Sie im Security Hub-Navigationsbereich die Option Sicherheitsstandards aus.

  4. Wählen Sie für den Standard, den Sie aktivieren möchten, Enable (Aktivieren) aus. Dadurch werden auch alle Kontrollen innerhalb dieses Standards aktiviert.

  5. Wiederholen Sie dies in jeder Region, in der Sie den Standard aktivieren möchten.

Security Hub API
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Rufen Sie die BatchEnableStandardsAPI auf.

  2. Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, den Sie aktivieren möchten. Rufen Sie die DescribeStandardsAPI auf, um den Standard-ARN zu erhalten.

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard aktivieren möchten.

AWS CLI
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Führen Sie den Befehl batch-enable-standards aus.

  2. Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, den Sie aktivieren möchten. Führen Sie den describe-standardsBefehl aus, um den Standard-ARN zu erhalten.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Beispiel

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard aktivieren möchten.

Automatische Aktivierung der Standardsicherheitsstandards

Wenn Sie keine zentrale Konfiguration verwenden, aktiviert Security Hub automatisch Standardsicherheitsstandards für neue Konten, wenn diese Ihrer Organisation beitreten. Alle Kontrollen, die Teil der Standardstandards sind, werden ebenfalls automatisch aktiviert. Derzeit sind die Standardsicherheitsstandards, die automatisch aktiviert werden, AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Sie können automatisch aktivierte Standards deaktivieren, wenn Sie es vorziehen, Standards in neuen Konten manuell zu aktivieren.

Wenn Sie die zentrale Konfiguration verwenden, können Sie eine Konfigurationsrichtlinie erstellen, die die Standardstandards aktiviert, und diese Richtlinie dem Stammverzeichnis zuordnen. Alle Unternehmenskonten und Organisationseinheiten übernehmen diese Konfigurationsrichtlinie, sofern sie nicht mit einer anderen Richtlinie verknüpft sind oder selbst verwaltet werden.

Schalten Sie automatisch aktivierte Standards aus

Die folgenden Schritte gelten nur, wenn Sie die zentrale Konfiguration integrieren, diese AWS Organizations aber nicht verwenden. Wenn Sie die Organisationsintegration nicht verwenden, können Sie einen Standardstandard deaktivieren, wenn Sie Security Hub zum ersten Mal aktivieren, oder Sie können die Schritte zur Deaktivierung eines Standards befolgen.

Security Hub console
Um automatisch aktivierte Standards auszuschalten

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.

  2. Wählen Sie im Security Hub-Navigationsbereich unter Einstellungen die Option Konfiguration aus.

  3. Deaktivieren Sie im Abschnitt Konten die Option Standardstandards automatisch aktivieren.

Security Hub API
Um automatisch aktivierte Standards zu deaktivieren

  1. Rufen Sie die UpdateOrganizationConfigurationAPI über das Security Hub-Administratorkonto auf.

  2. Um automatisch aktivierte Standards in neuen Mitgliedskonten zu deaktivieren, setzen Sie den AutoEnableStandards Wert aufNONE.

AWS CLI
Um automatisch aktivierte Standards zu deaktivieren

  1. Führen Sie den Befehl update-organization-configuration aus.

  2. Fügen Sie den auto-enable-standards Parameter hinzu, um automatisch aktivierte Standards in neuen Mitgliedskonten zu deaktivieren.

    aws securityhub update-organization-configuration --auto-enable-standards

Einen Sicherheitsstandard deaktivieren

Wenn Sie einen Sicherheitsstandard in Security Hub deaktivieren, passiert Folgendes:

  • Alle Kontrollen, die für den Standard gelten, sind ebenfalls deaktiviert, sofern sie nicht mit einem anderen Standard verknüpft sind.

  • Prüfungen auf die deaktivierten Steuerelemente werden nicht mehr durchgeführt, und es werden keine weiteren Ergebnisse für die deaktivierten Steuerelemente generiert.

  • Bestehende Ergebnisse für deaktivierte Kontrollen werden nach etwa 3—5 Tagen automatisch archiviert.

  • Die AWS Config Regeln, die Security Hub für die deaktivierten Steuerelemente erstellt hat, wurden entfernt.

    Dies geschieht normalerweise innerhalb weniger Minuten, nachdem Sie den Standard deaktiviert haben, kann aber länger dauern. Wenn die erste Anfrage zum Löschen der AWS Config Regeln fehlschlägt, versucht Security Hub es alle 12 Stunden erneut. Wenn Sie Security Hub jedoch deaktiviert haben oder keine anderen Standards aktiviert haben, kann Security Hub die Anfrage nicht erneut versuchen, was bedeutet, dass die AWS Config Regeln nicht gelöscht werden können. Wenn dies der Fall ist und Sie AWS Config Regeln löschen müssen, wenden AWS Support Sie sich an.

Deaktivierung eines Standards für mehrere Konten und Regionen

Um einen Sicherheitsstandard für mehrere Konten und Regionen zu deaktivieren, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards deaktivieren. Sie können eine Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können sich beispielsweise dafür entscheiden, den Payment Card Industry Data Security Standard (PCI DSS) in einer Organisationseinheit und sowohl PCI DSS als auch SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) in einer anderen Organisationseinheit zu deaktivieren. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards deaktiviert, finden Sie unter. Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen

Anmerkung

Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer dem Service-Managed Standard zu deaktivieren:. AWS Control Tower Sie können diesen Standard nur im Service deaktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.

Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.

Deaktivierung eines Standards in einem einzelnen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzelnen Konto und einer Region zu deaktivieren.

Security Hub console
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Vergewissern Sie sich, dass Sie Security Hub in der Region verwenden, in der Sie den Standard deaktivieren möchten.

  3. Wählen Sie im Security Hub-Navigationsbereich die Option Sicherheitsstandards aus.

  4. Wählen Sie für den Standard, den Sie deaktivieren möchten, Disable (Deaktivieren) aus.

  5. Wiederholen Sie dies in jeder Region, in der Sie den Standard deaktivieren möchten.

Security Hub API
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Rufen Sie die BatchDisableStandardsAPI auf.

  2. Geben Sie für jeden Standard, den Sie deaktivieren möchten, den Standard-Abonnement-ARN an. Rufen Sie die API auf, um die Abonnement-ARNs für Ihre aktivierten Standards GetEnabledStandardsabzurufen.

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard deaktivieren möchten.

AWS CLI
Um einen Standard in einem Konto und einer Region zu deaktivieren

  1. Führen Sie den Befehl batch-disable-standards aus.

  2. Geben Sie für jeden Standard, den Sie deaktivieren möchten, den Standard-Abonnement-ARN an. Führen Sie den get-enabled-standardsBefehl aus, um die Abonnement-ARNs für Ihre aktivierten Standards abzurufen.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Beispiel

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard deaktivieren möchten.