Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation et configuration AWS Config pour Security Hub
AWS Security Hub utilise des AWS Config règles pour exécuter des contrôles de sécurité et générer des résultats pour la plupart des contrôles. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Il utilise des règles pour établir une configuration de base pour vos ressources et un enregistreur de configuration pour détecter si une ressource particulière enfreint les conditions d'une règle. Certaines règles, appelées règles AWS Config gérées, sont prédéfinies et développées par AWS Config. Les autres règles sont AWS Config des règles personnalisées développées par Security Hub.
AWS Config les règles utilisées par Security Hub pour les contrôles sont appelées règles liées aux services. Les règles liées aux services permettent, Services AWS par exemple, à Security Hub de créer des AWS Config règles dans votre compte.
Pour recevoir les résultats des contrôles dans Security Hub, vous devez activer AWS Config dans votre compte et activer l'enregistrement pour les ressources que vos contrôles activés évaluent.
Cette page explique comment activer AWS Config Security Hub et activer l'enregistrement des ressources.
Considérations avant l'activation et la configuration AWS Config
Pour recevoir les résultats de contrôle dans Security Hub, votre compte doit être AWS Config activé dans chaque Région AWS cas où Security Hub est activé. Si vous utilisez Security Hub pour un environnement multi-comptes, celui-ci AWS Config doit être activé dans chaque région dans le compte administrateur et dans tous les comptes membres.
Nous vous recommandons vivement d'activer l'enregistrement des ressources AWS Config avant d'activer les normes et les contrôles du Security Hub. Cela vous permet de vous assurer que les résultats de vos contrôles sont exacts.
Pour activer l'enregistrement des ressources dans AWS Config, vous devez disposer des autorisations suffisantes pour enregistrer les ressources dans le rôle AWS Identity and Access Management (IAM) associé à l'enregistreur de configuration. En outre, assurez-vous qu'aucune IAM politique ou politique gérée n' AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles du Security Hub évaluent directement la configuration d'une ressource et ne tiennent pas compte des politiques des Organizations. Pour plus d'informations sur AWS Config l'enregistrement, consultez la section Liste des règles AWS Config gérées — Considérations dans le guide du AWS Config développeur.
Si vous activez une norme dans Security Hub mais que vous ne l'avez pas activée AWS Config, Security Hub essaie de créer des AWS Config règles selon le calendrier suivant :
-
Le jour où vous activez la norme
-
Le lendemain de l'activation de la norme
-
3 jours après avoir activé la norme
-
7 jours après avoir activé la norme (et en continu tous les 7 jours par la suite)
Si vous utilisez la configuration centralisée, Security Hub essaie également de créer les règles AWS Config liées aux services chaque fois que vous associez une politique de configuration qui active une ou plusieurs normes aux comptes, aux unités organisationnelles (OUs) ou à la racine.
Enregistrer des ressources dans AWS Config
Lors de l'activation AWS Config, vous devez spécifier AWS les ressources que l'enregistreur AWS Config de configuration doit enregistrer. Grâce aux règles liées au service, l'enregistreur de configuration permet à Security Hub de détecter les modifications apportées à la configuration de vos ressources.
Pour que Security Hub puisse générer des résultats de contrôle précis, vous devez activer l'enregistrement AWS Config pour les ressources correspondant à vos contrôles activés. Il s'agit principalement de contrôles activés avec un type de calendrier déclenché par des modifications qui nécessitent un enregistrement des ressources. Pour obtenir la liste des contrôles et des AWS Config ressources associées, consultezAWS Config Ressources requises pour les résultats des contrôles du Security Hub.
Avertissement
Si vous ne configurez pas correctement AWS Config l'enregistrement pour les contrôles Security Hub, cela peut entraîner des résultats de contrôle inexacts, en particulier dans les cas suivants :
Vous n'avez jamais enregistré la ressource pour un contrôle donné, vous n'avez jamais désactivé l'enregistrement d'une ressource avant de créer ce type de ressource, ou vous n'avez jamais attribué de IAM rôle à l'enregistreur de configuration qui n'autorisait pas l'enregistrement de la ressource. Dans ces cas, vous recevez un
PASSEDrésultat pour le contrôle en question, même si vous avez peut-être créé des ressources dans le cadre du contrôle après avoir désactivé l'enregistrement. IlPASSEDs'agit d'un résultat par défaut qui n'évalue pas réellement l'état de configuration de la ressource.Vous désactivez l'enregistrement d'une ressource évaluée par un contrôle particulier. Dans ce cas, Security Hub conserve les résultats du contrôle générés avant que vous ne désactiviez l'enregistrement, même si le contrôle n'évalue pas les ressources nouvelles ou mises à jour. Ces résultats conservés peuvent ne pas refléter avec précision l'état de configuration actuel d'une ressource.
AWS Config Enregistre par défaut toutes les ressources régionales prises en charge qu'il découvre dans le Région AWS système dans lequel il s'exécute. Pour recevoir tous les résultats du contrôle du Security Hub, vous devez également configurer AWS Config pour enregistrer les ressources globales. Pour réduire les coûts, nous recommandons d'enregistrer les ressources mondiales dans une seule région uniquement. Si vous utilisez la configuration centrale ou l'agrégation entre régions, cette région doit être votre région d'origine.
Dans AWS Config, vous pouvez choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous choisissez l'enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.
Pour plus d'informations sur AWS Config l'enregistrement, consultez la section AWS Ressources relatives à l'enregistrement dans le Guide du AWS Config développeur.
Méthodes d'activation et de configuration AWS Config
Vous pouvez activer AWS Config et activer l'enregistrement des ressources de l'une des manières suivantes :
-
AWS Config console — Vous pouvez activer un compte AWS Config à l'aide de la AWS Config console. Pour obtenir des instructions, consultez la section Configuration AWS Config avec la console dans le guide du AWS Config développeur.
-
AWS CLI ou SDKs — Vous pouvez activer AWS Config un compte en utilisant le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section Configuration AWS Config avec le AWS CLI dans le guide du AWS Config développeur. AWS des kits de développement logiciel (SDKs) sont également disponibles pour de nombreux langages de programmation.
-
CloudFormation modèle : si vous souhaitez l'activer AWS Config pour un grand nombre de comptes, nous vous recommandons d'utiliser le AWS CloudFormation modèle nommé Enable AWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSets exemples de modèles dans le guide de AWS CloudFormation l'utilisateur.
Par défaut, ce modèle exclut l'enregistrement pour les ressources IAM globales. Assurez-vous d'activer l'enregistrement pour les ressources IAM globales d'une seule région afin de réduire les coûts d'enregistrement. Si l'agrégation entre régions est activée, il doit s'agir de la région d'origine de votre Security Hub. Sinon, il peut s'agir de n'importe quel Région AWS site dans lequel Security Hub est disponible et qui prend en charge l'enregistrement des ressources IAM globales. Nous vous recommandons d'en exécuter un StackSet pour enregistrer toutes les ressources, y compris les ressources IAM globales, dans la région d'origine ou dans une autre région sélectionnée. Exécutez ensuite une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources IAM globales des autres régions.
-
Script Github — Security Hub propose un GitHub script
qui active Security Hub et ce, AWS Config pour plusieurs comptes dans toutes les régions. Ce script est utile si vous n'avez pas intégré Organizations ou si vous avez des comptes membres qui ne font pas partie d'une organisation.
Pour plus d'informations, consultez Optimiser AWS ConfigAWS Security Hub pour gérer efficacement votre posture de sécurité dans le cloud
Contrôle Config.1
Le Security Hub Control Config.1 génère des FAILED résultats dans votre compte s'il AWS Config est désactivé ou si l'enregistrement des ressources n'est pas activé pour les contrôles activés. Si vous êtes l'administrateur délégué du Security Hub d'une organisation, l' AWS Config enregistrement doit être correctement configuré dans votre compte et dans les comptes des membres. Si vous utilisez l'agrégation entre régions, l' AWS Config enregistrement doit être correctement configuré dans la région d'origine et dans toutes les régions liées (il n'est pas nécessaire d'enregistrer les ressources globales dans les régions liées).
Pour recevoir un PASSED résultat pour Config.1, activez l'enregistrement des ressources pour toutes les ressources correspondant aux contrôles Security Hub activés et désactivez les contrôles qui ne sont pas nécessaires dans votre organisation. Cela permet de s'assurer que vous ne présentez aucune lacune de configuration dans vos contrôles de sécurité et que vous recevez des informations précises concernant des ressources mal configurées.
Génération des règles liées aux services
Pour chaque contrôle utilisant une règle AWS Config liée à un service, Security Hub crée des instances de la règle requise dans votre AWS environnement.
Ces règles liées aux services sont spécifiques à Security Hub. Security Hub crée ces règles liées aux services même si d'autres instances des mêmes règles existent déjà. La règle liée au service est ajoutée securityhub avant le nom de règle d'origine et un identifiant unique après le nom de règle. Par exemple, pour la règle AWS Config géréevpc-flow-logs-enabled, le nom de la règle liée au service serait quelque chose comme. securityhub-vpc-flow-logs-enabled-12345
Le nombre de règles AWS Config gérées pouvant être utilisées pour évaluer les contrôles est limité. AWS Config Les règles personnalisées créées par Security Hub ne sont pas prises en compte dans cette limite. Vous pouvez activer une norme de sécurité même si vous avez déjà atteint la AWS Config limite de règles gérées dans votre compte. Pour en savoir plus sur les limites des AWS Config règles, consultez la section Limites AWS Config de service du Guide du AWS Config développeur.
Considérations de coût
Security Hub peut avoir un impact sur les coûts AWS Config de votre enregistreur de configuration en mettant à jour l'élément AWS::Config::ResourceCompliance de configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans celui-ci AWS Config. Cela peut réduire vos AWS Config
coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub.
Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Security Hub Tarification
