Praktik terbaik untuk mengonfigurasi Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk mengonfigurasi Security Hub

Praktik terbaik berikut dapat membantu Anda mendapatkan hasil maksimal dari penggunaan AWS Security Hub.

Mengintegrasikan Security Hub dan AWS Organizations

AWS Organizations adalah layanan manajemen akun global yang memungkinkan AWS administrator untuk mengkonsolidasikan dan mengelola beberapa secara terpusat Akun AWS dan unit organisasi (OUs). Ini menyediakan manajemen akun dan fitur penagihan terkonsolidasi yang dirancang untuk mendukung kebutuhan anggaran, keamanan, dan kepatuhan. Ini ditawarkan tanpa biaya tambahan dan terintegrasi dengan beberapa Layanan AWS, termasuk Security Hub, Amazon GuardDuty, dan Amazon Macie.

Untuk membantu mengotomatisasi dan merampingkan pengelolaan akun, kami sangat menyarankan untuk mengintegrasikan Security Hub dan AWS Organizations. Anda dapat berintegrasi dengan Organizations jika Anda memiliki lebih dari satu Akun AWS yang menggunakan Security Hub.

Untuk petunjuk tentang mengaktifkan integrasi, lihatMengintegrasikan Security Hub dengan AWS Organizations.

Menggunakan konfigurasi pusat

Saat mengintegrasikan Security Hub dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut konfigurasi pusat untuk menyiapkan dan mengelola Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi Security Hub di seluruh akun,OUs, dan Wilayah AWS. Administrator yang didelegasikan mengonfigurasi Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:

  • Apakah Security Hub diaktifkan atau dinonaktifkan

  • Standar keamanan mana yang diaktifkan dan dinonaktifkan

  • Kontrol keamanan mana yang diaktifkan dan dinonaktifkan

  • Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun danOUs. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OUs yang menggunakan kebijakan konfigurasi dikelola secara terpusat dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OUs dikelola sendiri untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan Region-by-Region.

Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut konfigurasi lokal. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Untuk mempelajari lebih lanjut tentang konfigurasi pusat, lihatMemahami konfigurasi pusat di Security Hub.

Melakukan konfigurasi AWS Config untuk Security Hub

AWS Security Hub menggunakan layanan terkait AWS Config aturan untuk menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk sebagian besar kontrol. Akibatnya, untuk menerima temuan kontrol, AWS Config harus diaktifkan di akun Anda di masing-masing Wilayah AWS di mana Security Hub diaktifkan. Jika akun Anda adalah bagian dari organisasi, AWS Config harus diaktifkan di setiap Wilayah di akun administrator dan semua akun anggota. Selain itu, ketika Anda mengaktifkan standar keamanan, AWS Config harus dikonfigurasi untuk merekam sumber daya yang diperlukan untuk kontrol yang diaktifkan yang merupakan bagian dari standar.

Kami sangat menyarankan agar Anda mengaktifkan perekaman sumber daya di AWS Config sebelum Anda mengaktifkan standar Security Hub. Jika Security Hub mencoba menjalankan pemeriksaan keamanan saat perekaman sumber daya dimatikan, pemeriksaan akan mengembalikan kesalahan hingga Anda mengaktifkannya AWS Config dan nyalakan perekaman sumber daya.

Security Hub tidak mengelola AWS Config untuk Anda. Jika Anda sudah memiliki AWS Config diaktifkan, Anda dapat mengkonfigurasi pengaturannya melalui AWS Config konsol atauAPIs.

Jika Anda mengaktifkan standar tetapi belum diaktifkan AWS Config, Security Hub mencoba membuat AWS Config aturan sesuai dengan jadwal berikut:

  • Pada hari Anda mengaktifkan standar

  • Sehari setelah Anda mengaktifkan standar

  • 3 hari setelah Anda mengaktifkan standar

  • 7 hari setelah Anda mengaktifkan standar (dan terus menerus setiap 7 hari setelahnya)

Jika Anda menggunakan konfigurasi pusat, Security Hub juga mencoba membuat AWS Config aturan setiap kali Anda menerapkan kebijakan konfigurasi yang memungkinkan satu atau beberapa standar dengan akun, unit organisasi (OUs), atau root.

Mengaktifkan AWS Config

Jika Anda belum mengaktifkan AWS Config sudah, Anda dapat mengaktifkannya dengan salah satu cara berikut:

  • Konsol atau AWS CLI— Anda dapat mengaktifkan secara manual AWS Config menggunakan AWS Config konsol atau AWS CLI. Lihat Memulai dengan AWS Configdi AWS Config Panduan Pengembang.

  • AWS CloudFormation template - Jika Anda ingin mengaktifkan AWS Config pada sejumlah besar akun, Anda dapat mengaktifkan AWS Config dengan CloudFormation template Aktifkan AWS Config. Untuk mengakses template ini, lihat AWS CloudFormation StackSets contoh template di AWS CloudFormation Panduan Pengguna.

  • Skrip Github — Security Hub menawarkan GitHub skrip yang memungkinkan Security Hub untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi dengan Organizations atau jika Anda memiliki akun yang bukan bagian dari organisasi Anda. Ketika Anda menggunakan skrip ini untuk mengaktifkan Security Hub, itu juga secara otomatis mengaktifkan AWS Config untuk akun-akun ini.

Untuk informasi lebih lanjut tentang mengaktifkan AWS Config untuk membantu Anda menjalankan pemeriksaan keamanan Security Hub, lihat Optimalkan AWS Config untuk AWS Security Hub untuk mengelola postur keamanan cloud Anda secara efektif.

Mengaktifkan perekaman sumber daya di AWS Config

Saat Anda mengaktifkan perekaman sumber daya dengan pengaturan default, AWS Config mencatat semua jenis sumber daya Regional yang didukung yang ditemukan di Wilayah AWS di mana ia berjalan. Anda juga dapat mengkonfigurasi AWS Config untuk merekam jenis sumber daya global yang didukung. Anda hanya perlu merekam sumber daya global dalam satu Wilayah (kami sarankan ini menjadi Wilayah asal Anda jika Anda menggunakan konfigurasi pusat).

Jika Anda menggunakan CloudFormation StackSets untuk mengaktifkan AWS Config, kami sarankan Anda menjalankan dua yang berbeda StackSets. Jalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya global, dalam satu Wilayah. Jalankan sedetik StackSet untuk merekam semua sumber daya kecuali sumber daya global di Wilayah lain.

Anda juga dapat menggunakan Quick Setup, kemampuan AWS Systems Manager, untuk mengkonfigurasi perekaman sumber daya dengan cepat AWS Config di seluruh akun dan Wilayah Anda. Selama proses Quick Setup, Anda dapat memilih Wilayah mana yang ingin Anda rekam sumber daya global. Untuk informasi selengkapnya, silakan lihat AWS Config perekam konfigurasi di AWS Systems Manager Panduan Pengguna.

Kontrol keamanan Config.1 menghasilkan temuan yang gagal untuk Wilayah selain Wilayah tertaut dalam agregator (Wilayah dan Wilayah asal tidak berada dalam agregator temuan sama sekali) jika Wilayah tersebut tidak merekam AWS Identity and Access Management (IAM) sumber daya global dan telah memungkinkan kontrol yang membutuhkan sumber daya IAM global untuk dicatat. Di Wilayah tertaut, Config.1 tidak memeriksa apakah sumber daya IAM global direkam. Untuk daftar sumber daya yang dibutuhkan setiap kontrol, lihatAWS Config Sumber daya yang diperlukan untuk temuan kontrol Security Hub.

Jika Anda menggunakan skrip multi-akun untuk mengaktifkan Security Hub, secara otomatis mengaktifkan perekaman sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Anda kemudian dapat memperbarui konfigurasi untuk merekam sumber daya global hanya dalam satu Wilayah. Untuk selengkapnya, lihat Memilih sumber daya yang mana AWS Config catatan di AWS Config Panduan Pengembang.

Agar Security Hub dapat secara akurat melaporkan temuan untuk kontrol yang bergantung pada AWS Config aturan, Anda harus mengaktifkan rekaman untuk sumber daya yang relevan. Untuk daftar kontrol dan yang terkait AWS Config sumber daya, lihatAWS Config Sumber daya yang diperlukan untuk temuan kontrol Security Hub.AWS Config memungkinkan Anda memilih antara perekaman berkelanjutan dan perekaman harian perubahan status sumber daya. Jika Anda memilih rekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Ini dapat menunda pembuatan temuan Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.

catatan

Untuk menghasilkan temuan baru setelah pemeriksaan keamanan dan menghindari temuan basi, Anda harus memiliki izin yang cukup untuk IAM peran yang dilampirkan ke perekam konfigurasi untuk mengevaluasi sumber daya yang mendasarinya.

Pertimbangan biaya

Untuk informasi tentang biaya yang terkait dengan perekaman sumber daya, lihat AWS Security Hub harga dan AWS Config harga.

Security Hub dapat memengaruhi AWS Config biaya perekam konfigurasi dengan memperbarui item AWS::Config::ResourceCompliance konfigurasi. Pembaruan dapat terjadi setiap kali kontrol Security Hub terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan AWS Config perekam konfigurasi hanya untuk Security Hub, dan jangan gunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu di AWS Config konsol atau AWS CLI. Hal ini dapat mengurangi AWS Config biaya. Anda tidak perlu merekam pemeriksaan keamanan AWS::Config::ResourceCompliance agar berfungsi di Security Hub.