Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi kontrol di seluruh standar
AWS Security Hub menghasilkan temuan untuk kontrol yang diaktifkan, dan mempertimbangkan semua kontrol yang diaktifkan saat menghitung skor keamanan. Anda dapat memilih untuk mengaktifkan dan menonaktifkan kontrol di semua standar keamanan atau mengonfigurasi status pemberdayaan secara berbeda dalam standar yang berbeda. Kami merekomendasikan opsi sebelumnya, di mana status pemberdayaan kontrol disejajarkan di semua standar yang Anda aktifkan. Bagian ini menjelaskan cara mengaktifkan dan menonaktifkan kontrol di seluruh standar. Untuk mengaktifkan atau menonaktifkan kontrol dalam satu atau lebih standar spesifik, lihatMengkonfigurasi kontrol dalam standar tertentu.
Jika Anda telah menetapkan Wilayah agregasi, konsol Security Hub akan menampilkan kontrol dari semua Wilayah yang ditautkan. Jika kontrol tersedia di Wilayah tertaut tetapi tidak di Wilayah agregasi, Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah agregasi.
catatan
Petunjuk untuk mengaktifkan dan menonaktifkan kontrol bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak. Bagian ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub dan AWS Organizations. Sebaiknya gunakan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan kontrol di lingkungan multi-akun dan Multi-wilayah.
Mengaktifkan kontrol
Saat Anda mengaktifkan kontrol dalam standar, Security Hub mulai menjalankan pemeriksaan keamanan untuk kontrol dan menghasilkan temuan kontrol.
Security Hub mencakup status kontrol dalam perhitungan skor keamanan keseluruhan dan skor keamanan standar. Jika Anda mengaktifkan temuan kontrol konsolidasi, Anda menerima satu temuan untuk pemeriksaan keamanan bahkan jika Anda telah mengaktifkan kontrol dalam beberapa standar. Untuk informasi lebih lanjut, lihat Temuan kontrol konsolidasi.
Mengaktifkan kontrol di semua standar di beberapa akun dan Wilayah
Untuk mengaktifkan kontrol keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.
Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang mengaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.
Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk mengaktifkan semua kontrol dalam satu OU, dan Anda dapat memilih untuk mengaktifkan hanya kontrol Amazon Elastic Compute Cloud (EC2) di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan kontrol tertentu di seluruh standar, lihatMembuat dan mengaitkan kebijakan konfigurasi.
catatan
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar yang Dikelola Layanan: AWS Control Tower. Kontrol untuk standar ini harus dikonfigurasi di AWS Control Tower layanan.
Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.
Mengaktifkan kontrol di semua standar dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan kontrol dalam satu akun dan Wilayah.
Secara otomatis mengaktifkan kontrol baru dalam standar yang diaktifkan
Security Hub secara teratur merilis kontrol keamanan baru dan menambahkannya ke satu atau lebih standar. Anda dapat memilih apakah akan mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.
catatan
Sebaiknya gunakan konfigurasi pusat untuk mengaktifkan kontrol baru secara otomatis. Jika kebijakan konfigurasi Anda menyertakan daftar kontrol yang akan dinonaktifkan (secara terprogram, ini mencerminkan DisabledSecurityControlIdentifiers
parameter), Security Hub secara otomatis mengaktifkan semua kontrol lain di seluruh standar, termasuk kontrol yang baru dirilis. Jika kebijakan Anda menyertakan daftar kontrol yang akan diaktifkan (ini mencerminkan EnabledSecurityControlIdentifiers
parameter), Security Hub secara otomatis menonaktifkan semua kontrol lainnya di seluruh standar, termasuk yang baru dirilis. Untuk informasi selengkapnya, lihat Cara kerja kebijakan konfigurasi di Security Hub.
Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan. Petunjuk berikut hanya berlaku jika Anda tidak menggunakan konfigurasi pusat.
Menonaktifkan kontrol
Ketika Anda menonaktifkan kontrol di semua standar, berikut ini terjadi:
-
Pemeriksaan keamanan untuk kontrol tidak lagi dilakukan.
-
Tidak ada temuan tambahan yang dihasilkan untuk kontrol itu.
-
Temuan yang ada diarsipkan secara otomatis setelah 3-5 hari (perhatikan bahwa ini adalah upaya terbaik).
-
Segala yang terkait AWS Config aturan yang dibuat oleh Security Hub dihapus.
Alih-alih menonaktifkan kontrol di semua standar, Anda bisa menonaktifkannya dalam satu atau lebih standar spesifik. Jika Anda melakukan ini, Security Hub tidak menjalankan pemeriksaan keamanan untuk kontrol standar tempat Anda menonaktifkannya, sehingga tidak memengaruhi skor keamanan untuk standar tersebut. Namun, Security Hub mempertahankan AWS Config aturan dan terus menjalankan pemeriksaan keamanan untuk kontrol jika diaktifkan dalam standar lain. Ini dapat memengaruhi skor keamanan ringkasan Anda. Untuk petunjuk tentang mengonfigurasi kontrol dalam standar tertentu, lihatMengkonfigurasi kontrol dalam standar tertentu.
Untuk mengurangi kebisingan temuan, akan berguna untuk menonaktifkan kontrol yang tidak relevan dengan lingkungan Anda. Untuk rekomendasi tentang kontrol mana yang harus dinonaktifkan, lihat Kontrol Security Hub yang mungkin ingin Anda nonaktifkan.
Ketika Anda menonaktifkan standar, semua kontrol yang berlaku untuk standar dinonaktifkan (namun, kontrol tersebut mungkin tetap diaktifkan dalam standar lain). Untuk informasi tentang menonaktifkan standar, lihat. Mengkonfigurasi standar di Security Hub
Saat Anda menonaktifkan standar, Security Hub tidak melacak kontrol mana yang berlaku yang dinonaktifkan. Jika Anda kemudian mengaktifkan kembali standar yang sama, semua kontrol yang berlaku untuk itu secara otomatis diaktifkan. Selain itu, menonaktifkan kontrol bukanlah tindakan permanen. Misalkan Anda menonaktifkan kontrol, dan kemudian Anda mengaktifkan standar yang sebelumnya dinonaktifkan. Jika standar mencakup kontrol itu, itu akan diaktifkan dalam standar itu. Saat Anda mengaktifkan standar di Security Hub, semua kontrol yang berlaku untuk standar tersebut akan diaktifkan secara otomatis. Anda dapat memilih untuk menonaktifkan kontrol tertentu.
Menonaktifkan kontrol di semua standar di beberapa akun dan Wilayah
Untuk menonaktifkan kontrol keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.
Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang menonaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentuOUs,, atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.
Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk menonaktifkan semua AWS CloudTrail kontrol dalam satu OU, dan Anda dapat memilih untuk menonaktifkan semua IAM kontrol di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan kontrol tertentu di seluruh standar, lihatMembuat dan mengaitkan kebijakan konfigurasi.
catatan
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar yang Dikelola Layanan: AWS Control Tower. Kontrol untuk standar ini harus dikonfigurasi di AWS Control Tower layanan.
Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.
Menonaktifkan kontrol di semua standar dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk menonaktifkan kontrol dalam satu akun dan Wilayah.