Activation et désactivation des normes dans Security Hub - AWS Security Hub
Mise en place d'une norme de sécuritéDésactivation d'une norme de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et désactivation des normes dans Security Hub

Vous pouvez activer ou désactiver chaque norme de sécurité disponible dans Security Hub.

Avant d'activer des normes de sécurité, assurez-vous d'avoir activé AWS Config et configuré l'enregistrement des ressources. Sinon, Security Hub risque de ne pas être en mesure de générer des résultats pour les contrôles qui s'appliquent à une norme. Pour de plus amples informations, veuillez consulter Configuration AWS Config pour Security Hub.

Note

Les instructions d'activation et de désactivation des normes varient selon que vous utilisez ou non la configuration centralisée. Cette section décrit les différences. La configuration centralisée est disponible pour les utilisateurs qui intègrent Security Hub et AWS Organizations. Nous recommandons d'utiliser une configuration centralisée pour simplifier le processus d'activation et de désactivation des normes dans les environnements multicomptes et multirégionaux.

Mise en place d'une norme de sécurité

Lorsque vous activez une norme de sécurité, tous les contrôles qui s'y appliquent sont automatiquement activés. Security Hub commence également à générer des résultats pour les contrôles qui s'appliquent à la norme.

Vous pouvez choisir les commandes à activer et à désactiver dans chaque norme. La désactivation d'un contrôle arrête la génération de résultats pour le contrôle et le contrôle est ignoré lors du calcul des scores de sécurité.

Lorsque vous activez Security Hub, Security Hub calcule le score de sécurité initial d'une norme dans les 30 minutes suivant votre première visite sur la page Résumé ou sur la page des normes de sécurité de la console Security Hub. Jusqu'à 24 heures peuvent être nécessaires pour générer des scores de sécurité pour la première fois dans les régions chinoises et AWS GovCloud (US) Region. Les scores ne sont générés que pour les normes activées lorsque vous visitez ces pages. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Une fois le score généré pour la première fois, Security Hub met à jour le score de sécurité toutes les 24 heures. Security Hub affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité. Pour consulter la liste des normes actuellement activées dans votre compte, invoquez le GetEnabledStandardsAPI.

Mise en place d'une norme pour plusieurs comptes et régions

Pour activer une norme de sécurité sur plusieurs comptes Régions AWS, vous devez utiliser une configuration centralisée.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration du Security Hub qui activent une ou plusieurs normes. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles spécifiques (OUs) ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer uniquement les meilleures pratiques de sécurité AWS fondamentales (FSBP) dans une unité d'organisation, et vous pouvez choisir d'activer FSBP Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 dans une autre unité d'organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active les normes spécifiées, voir Création et association de politiques de configuration

Si vous utilisez la configuration centralisée, Security Hub n'active aucune norme automatiquement dans les comptes nouveaux ou existants. Au lieu de cela, lors de la création d'une politique de configuration, l'administrateur délégué définit les normes à activer dans les différents comptes. Security Hub propose une politique de configuration recommandée dans laquelle seule l'option FSBP est activée. Pour de plus amples informations, veuillez consulter Types de politiques de configuration.

Note

L'administrateur délégué peut créer des politiques de configuration pour activer n'importe quelle norme, à l'exception de Service-Managed Standard :. AWS Control Tower Vous ne pouvez activer cette norme que dans le AWS Control Tower service. Si vous utilisez la configuration centralisée, vous pouvez activer et désactiver les contrôles dans cette norme pour un compte géré de manière centralisée uniquement dans AWS Control Tower.

Si vous souhaitez que certains comptes configurent leurs propres normes plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les normes séparément dans chaque région.

Activation d'une norme dans un seul compte et une seule région

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les normes de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer une norme dans un seul compte et une seule région.

Security Hub console
Pour activer une norme dans un compte et une région

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Vérifiez que vous utilisez Security Hub dans la région dans laquelle vous souhaitez activer la norme.

  3. Dans le volet de navigation du Security Hub, sélectionnez Security standards.

  4. Pour la norme que vous souhaitez activer, choisissez Enable (Activer). Cela permet également toutes les commandes conformes à cette norme.

  5. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer la norme.

Security Hub API
Pour activer une norme dans un compte et une région

  1. Invoquez le BatchEnableStandardsAPI.

  2. Indiquez le nom de ressource Amazon (ARN) de la norme que vous souhaitez activer. Pour obtenir la normeARN, invoquez le DescribeStandardsAPI.

  3. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer la norme.

AWS CLI
Pour activer une norme dans un compte et une région

  1. Exécutez la commande batch-enable-standards.

  2. Indiquez le nom de ressource Amazon (ARN) de la norme que vous souhaitez activer. Pour obtenir la normeARN, exécutez la describe-standardscommande.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Exemple

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer la norme.

Activation automatique des normes de sécurité par défaut

Si vous n'utilisez pas la configuration centralisée, Security Hub active automatiquement les normes de sécurité par défaut pour les nouveaux comptes lorsqu'ils rejoignent votre organisation. Toutes les commandes incluses dans les normes par défaut sont également activées automatiquement. Actuellement, les normes de sécurité par défaut qui sont automatiquement activées sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Vous pouvez désactiver les normes activées automatiquement si vous préférez les activer manuellement dans les nouveaux comptes.

Si vous utilisez la configuration centralisée, vous pouvez créer une politique de configuration qui active les normes par défaut et associer cette politique à la racine. Tous les comptes de votre organisation OUs hériteront de cette politique de configuration, sauf s'ils sont associés à une politique différente ou s'ils sont autogérés.

Désactiver les normes activées automatiquement

Les étapes suivantes s'appliquent uniquement si vous intégrez AWS Organizations la configuration centrale sans l'utiliser. Si vous n'utilisez pas l'intégration Organizations, vous pouvez désactiver une norme par défaut lorsque vous activez Security Hub pour la première fois, ou vous pouvez suivre les étapes pour désactiver une norme.

Security Hub console
Pour désactiver les normes activées automatiquement

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur.

  2. Dans le volet de navigation du Security Hub, sous Paramètres, sélectionnez Configuration.

  3. Dans la section Comptes, désactivez l'activation automatique des normes par défaut.

Security Hub API
Pour désactiver les normes activées automatiquement

  1. Appelez le UpdateOrganizationConfigurationAPIdepuis le compte administrateur du Security Hub.

  2. Pour désactiver les normes activées automatiquement dans les nouveaux comptes membres, définissez la AutoEnableStandards valeur égale àNONE.

AWS CLI
Pour désactiver les normes activées automatiquement

  1. Exécutez la commande update-organization-configuration.

  2. Incluez le auto-enable-standards paramètre permettant de désactiver les normes activées automatiquement dans les nouveaux comptes membres.

    aws securityhub update-organization-configuration --auto-enable-standards

Désactivation d'une norme de sécurité

Lorsque vous désactivez une norme de sécurité dans Security Hub, les événements suivants se produisent :

  • Toutes les commandes qui s'appliquent à la norme sont également désactivées, sauf si elles sont associées à une autre norme.

  • Les contrôles des contrôles désactivés ne sont plus effectués et aucun résultat supplémentaire n'est généré pour les contrôles désactivés.

  • Les résultats existants concernant les contrôles désactivés sont archivés automatiquement au bout de 3 à 5 jours environ.

  • Les AWS Config règles créées par Security Hub pour les contrôles désactivés sont supprimées.

    Cela se produit généralement quelques minutes après la désactivation de la norme, mais cela peut prendre plus de temps. Si la première demande de suppression des AWS Config règles échoue, Security Hub réessaie toutes les 12 heures. Toutefois, si vous avez désactivé Security Hub ou si aucune autre norme n'est activée, Security Hub ne peut pas réessayer la demande, ce qui signifie qu'il ne peut pas supprimer les AWS Config règles. Si cela se produit et que vous devez supprimer AWS Config des règles, contactez AWS Support.

Désactivation d'une norme sur plusieurs comptes et régions

Pour désactiver une norme de sécurité sur plusieurs comptes et régions, vous devez utiliser la configuration centralisée.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration qui désactivent une ou plusieurs normes. Vous pouvez associer une politique de configuration à des comptes spécifiques et/ou OUs à l'utilisateur root. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir de désactiver la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS) dans une unité d'organisation, et vous pouvez choisir de désactiver les deux PCI DSS ainsi que le SP 800-53 Rev. 5 du National Institute of Standards and Technology (NIST) dans une autre unité d'organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui désactive les normes spécifiées, consultezCréation et association de politiques de configuration.

Note

L'administrateur délégué peut créer des politiques de configuration pour désactiver n'importe quelle norme à l'exception de la norme gérée par les services :. AWS Control Tower Vous ne pouvez désactiver cette norme que dans le AWS Control Tower service. Si vous utilisez la configuration centralisée, vous pouvez activer et désactiver les contrôles dans cette norme pour un compte géré de manière centralisée uniquement dans AWS Control Tower.

Si vous souhaitez que certains comptes configurent leurs propres normes plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les normes séparément dans chaque région.

Désactiver une norme dans un seul compte et dans une seule région

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver les normes de manière centralisée dans plusieurs comptes et régions. Toutefois, vous pouvez utiliser les étapes suivantes pour désactiver une norme dans un seul compte et une seule région.

Security Hub console
Pour désactiver une norme dans un compte et une région

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Vérifiez que vous utilisez Security Hub dans la région dans laquelle vous souhaitez désactiver la norme.

  3. Dans le volet de navigation du Security Hub, sélectionnez Security standards.

  4. Pour la norme que vous souhaitez désactiver, choisissez Disable (Désactiver).

  5. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.

Security Hub API
Pour désactiver une norme dans un compte et une région

  1. Invoquez le BatchDisableStandardsAPI.

  2. Pour chaque norme que vous souhaitez désactiver, indiquez l'abonnement standardARN. Pour obtenir l'abonnement correspondant ARNs à vos normes activées, invoquez le GetEnabledStandardsAPI.

  3. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.

AWS CLI
Pour désactiver une norme dans un compte et une région

  1. Exécutez la commande batch-disable-standards.

  2. Pour chaque norme que vous souhaitez désactiver, indiquez l'abonnement standardARN. Pour obtenir l'abonnement correspondant ARNs aux normes que vous avez activées, exécutez la get-enabled-standardscommande.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Exemple

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver la norme.