Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk AWS Config
Kontrol Security Hub ini mengevaluasi AWS Config layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/2.5, Tolok Ukur Yayasan v1.4.0/3.5, Tolok Ukur CIS AWS Yayasan v3.0.0/3.3, .800-53.r5 CM-3, .800-53.r5 CIS AWS CM-6 (1), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST NIST PCI DSS PCI DSS
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::::Account
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Kontrol tidak mengevaluasi apakah AWS Config menggunakan peran terkait layanan jika parameter disetel ke. |
Boolean |
|
|
Kontrol ini memeriksa apakah AWS Config diaktifkan di akun Anda saat ini Wilayah AWS, mencatat semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini, dan menggunakan peran terkait layanan AWS Config. Jika Anda tidak menggunakan peran terkait layanan dan tidak menyetel includeConfigServiceLinkedRoleCheck parameternyafalse, kontrol gagal karena peran lain mungkin tidak memiliki izin yang diperlukan AWS Config untuk merekam sumber daya Anda secara akurat.
AWS Config Layanan ini melakukan manajemen konfigurasi AWS sumber daya yang didukung di akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (AWS sumber daya), hubungan antara item konfigurasi, dan perubahan konfigurasi apa pun dalam sumber daya. Sumber daya global adalah sumber daya yang tersedia di Wilayah mana pun.
Kontrol dievaluasi sebagai berikut:
Jika Region saat ini ditetapkan sebagai Region agregasi Anda, kontrol akan menghasilkan
PASSEDtemuan hanya jika AWS Identity and Access Management (IAM) sumber daya global dicatat (jika Anda telah mengaktifkan kontrol yang memerlukannya).Jika Wilayah saat ini ditetapkan sebagai Wilayah tertaut, kontrol tidak mengevaluasi apakah sumber daya IAM global dicatat.
Jika Wilayah saat ini tidak ada dalam agregator Anda, atau jika agregasi lintas wilayah tidak diatur di akun Anda, kontrol akan menghasilkan
PASSEDtemuan hanya jika sumber daya IAM global direkam (jika Anda telah mengaktifkan kontrol yang memerlukannya).
Hasil kontrol tidak terpengaruh oleh apakah Anda memilih pencatatan harian atau terus menerus dari perubahan status sumber daya di AWS Config. Namun, hasil kontrol ini dapat berubah ketika kontrol baru dirilis jika Anda telah mengonfigurasi pengaktifan otomatis kontrol baru atau memiliki kebijakan konfigurasi pusat yang secara otomatis mengaktifkan kontrol baru. Dalam kasus ini, jika Anda tidak merekam semua sumber daya, Anda harus mengonfigurasi rekaman untuk sumber daya yang terkait dengan kontrol baru untuk menerima PASSED temuan.
Pemeriksaan keamanan Security Hub berfungsi sebagaimana dimaksud hanya jika Anda mengaktifkan AWS Config di semua Wilayah dan mengonfigurasi perekaman sumber daya untuk kontrol yang memerlukannya.
catatan
Config.1 mengharuskan itu AWS Config diaktifkan di semua Wilayah tempat Anda menggunakan Security Hub.
Karena Security Hub adalah layanan Regional, pemeriksaan yang dilakukan untuk kontrol ini hanya mengevaluasi Wilayah saat ini untuk akun tersebut.
Untuk memungkinkan pemeriksaan keamanan terhadap sumber daya IAM global di suatu Wilayah, Anda harus mencatat sumber daya IAM global di Wilayah tersebut. Wilayah yang tidak memiliki sumber daya IAM global yang direkam akan menerima PASSED temuan default untuk kontrol yang memeriksa sumber daya IAM global. Karena sumber daya IAM global identik Wilayah AWS, kami sarankan Anda merekam sumber daya IAM global hanya di Wilayah asal (jika agregasi lintas wilayah diaktifkan di akun Anda). IAMsumber daya hanya akan direkam di Wilayah di mana perekaman sumber daya global dihidupkan.
Jenis sumber daya yang direkam IAM secara global yang AWS Config mendukung adalah IAM pengguna, grup, peran, dan kebijakan yang dikelola pelanggan. Anda dapat mempertimbangkan untuk menonaktifkan kontrol Security Hub yang memeriksa jenis sumber daya ini di Wilayah tempat perekaman sumber daya global dinonaktifkan. Untuk informasi selengkapnya, lihat Kontrol yang disarankan untuk dinonaktifkan di Security Hub.
Remediasi
Untuk daftar sumber daya mana yang harus direkam untuk setiap kontrol, lihatAWS Config Sumber daya yang diperlukan untuk menghasilkan temuan kontrol Security Hub.
Di Wilayah dan Wilayah asal yang bukan merupakan bagian dari agregator, catat semua sumber daya yang diperlukan untuk kontrol yang diaktifkan di Wilayah saat ini, termasuk sumber daya IAM global jika Anda telah mengaktifkan kontrol yang memerlukan sumber daya IAM global.
Di Wilayah tertaut, Anda dapat menggunakan mode AWS Config perekaman apa pun, selama Anda merekam semua sumber daya yang sesuai dengan kontrol yang diaktifkan di Wilayah saat ini. Di Wilayah tertaut, jika Anda mengaktifkan kontrol yang memerlukan perekaman sumber daya IAM global, Anda tidak akan menerima FAILED temuan (rekaman sumber daya lainnya sudah cukup).
Untuk mengaktifkan AWS Config dan mengonfigurasinya untuk merekam sumber daya, lihat Menyiapkan AWS Config dengan konsol di Panduan AWS Config Pengembang. Anda juga dapat menggunakan AWS CloudFormation template untuk mengotomatiskan proses ini. Untuk informasi selengkapnya, lihat AWS CloudFormation StackSets contoh templat di Panduan AWS CloudFormation Pengguna.
