Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol yang disarankan untuk dinonaktifkan di Security Hub
Kami merekomendasikan untuk menonaktifkan beberapa AWS Security Hub kontrol untuk mengurangi kebisingan dan membatasi biaya.
Kontrol yang menggunakan sumber daya global
Beberapa Layanan AWS mendukung sumber daya global, yang berarti Anda dapat mengakses sumber daya dari mana pun Wilayah AWS. Untuk menghemat biaya AWS Config, Anda dapat menonaktifkan perekaman sumber daya global di semua kecuali satu Wilayah. Namun, setelah Anda melakukannya, Security Hub tetap menjalankan pemeriksaan keamanan di semua Wilayah di mana kontrol diaktifkan dan menagih Anda berdasarkan jumlah cek per akun per Wilayah. Oleh karena itu, untuk mengurangi kebisingan dan menghemat biaya Security Hub, Anda juga harus menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah yang mencatat sumber daya global.
Jika kontrol melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah, menonaktifkannya di Wilayah tersebut mencegah Anda mendapatkan temuan apa pun untuk sumber daya yang mendasarinya. Dalam hal ini, kami sarankan untuk tetap mengaktifkan kontrol. Saat menggunakan agregasi lintas wilayah, wilayah di mana kontrol tersedia harus merupakan Wilayah agregasi atau salah satu Wilayah yang ditautkan. Kontrol berikut melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah:
Semua CloudFront kontrol - Hanya tersedia di AS Timur (Virginia N.)
GlobalAccelerator.1 — Hanya tersedia di AS Barat (Oregon)
Route53.2 - Hanya tersedia di AS Timur (Virginia N.)
WAF.1, WAF .6, WAF .7, dan WAF .8 - Hanya tersedia di AS Timur (Virginia N.)
catatan
Jika Anda menggunakan konfigurasi pusat, Security Hub secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal. Saat Anda menggunakan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan. Untuk informasi selengkapnya tentang konfigurasi pusat, lihatMemahami konfigurasi pusat di Security Hub.
Untuk kontrol dengan jenis jadwal berkala, menonaktifkannya di Security Hub diperlukan untuk mencegah penagihan. Menyetel AWS Config parameter includeGlobalResourceTypes ke false tidak memengaruhi kontrol Security Hub berkala.
Berikut ini adalah daftar kontrol Security Hub yang menggunakan sumber daya global:
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk IAM pengguna harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk IAM pengguna harus memiliki urasi yang kuat AWS Config
-
[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
CloudTrail kontrol logging
Kontrol ini berkaitan dengan penggunaan AWS Key Management Service (AWS KMS) untuk mengenkripsi log AWS CloudTrail jejak. Jika Anda mencatat jejak ini di akun logging terpusat, Anda hanya perlu mengaktifkan kontrol ini di akun dan Wilayah tempat pencatatan terpusat berlangsung.
catatan
Jika Anda menggunakan konfigurasi pusat, status pengaktifan kontrol disejajarkan di seluruh Wilayah beranda dan Wilayah yang ditautkan. Anda tidak dapat menonaktifkan kontrol di beberapa Wilayah dan mengaktifkannya di wilayah lain. Dalam hal ini, tekan temuan dari kontrol berikut untuk mengurangi kebisingan temuan.
CloudWatch kontrol alarm
Jika Anda lebih suka menggunakan Amazon GuardDuty untuk deteksi anomali daripada CloudWatch alarm Amazon, Anda dapat menonaktifkan kontrol ini, yang berfokus pada alarm. CloudWatch
-
[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
-
[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API
-
[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
-
[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan
-
[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi
-
[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
-
[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi
-
[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
-
[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan
-
[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
-
[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
