Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan dan menonaktifkan standar di Security Hub
Anda dapat mengaktifkan atau menonaktifkan setiap standar keamanan yang tersedia di Security Hub.
Sebelum Anda mengaktifkan standar keamanan apa pun, pastikan Anda telah mengaktifkan AWS Config dan mengonfigurasi perekaman sumber daya. Jika tidak, Security Hub mungkin tidak dapat menghasilkan temuan untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, lihat Mengkonfigurasi AWS Config untuk Security Hub.
catatan
Petunjuk untuk mengaktifkan dan menonaktifkan standar bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak. Bagian ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub dan AWS Organizations. Kami merekomendasikan penggunaan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan standar di lingkungan multi-akun, Multi-wilayah.
Mengaktifkan standar keamanan
Ketika Anda mengaktifkan standar keamanan, semua kontrol yang berlaku untuk standar secara otomatis diaktifkan di dalamnya. Security Hub juga mulai menghasilkan temuan untuk kontrol yang berlaku untuk standar.
Anda dapat memilih kontrol mana yang akan diaktifkan dan dinonaktifkan di setiap standar. Menonaktifkan kontrol menghentikan temuan untuk kontrol yang dihasilkan, dan kontrol diabaikan saat menghitung skor keamanan.
Saat Anda mengaktifkan Security Hub, Security Hub menghitung skor keamanan awal untuk standar dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman Ringkasan atau halaman standar Keamanan di konsol Security Hub. Diperlukan waktu hingga 24 jam untuk skor keamanan pertama kali dihasilkan di Wilayah China dan AWS GovCloud (US) Region. Skor hanya dihasilkan untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Setelah menghasilkan skor pertama kali, Security Hub memperbarui skor keamanan setiap 24 jam. Security Hub menampilkan stempel waktu untuk menunjukkan kapan skor keamanan terakhir diperbarui. Untuk melihat daftar standar yang saat ini diaktifkan di akun Anda, panggil. GetEnabledStandardsAPI
Mengaktifkan standar di beberapa akun dan Wilayah
Untuk mengaktifkan standar keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.
Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang mengaktifkan satu atau beberapa standar. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.
Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk mengaktifkan hanya AWS Foundational Security Best Practices (FSBP) dalam satu OU, dan Anda dapat memilih untuk mengaktifkan FSBP dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 di OU lain. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan standar tertentu, lihat Membuat dan mengaitkan kebijakan konfigurasi
Jika Anda menggunakan konfigurasi pusat, Security Hub tidak secara otomatis mengaktifkan standar apa pun di akun baru atau yang sudah ada. Sebagai gantinya, saat membuat kebijakan konfigurasi, administrator yang didelegasikan menentukan standar mana yang akan diaktifkan di akun yang berbeda. Security Hub menawarkan kebijakan konfigurasi yang direkomendasikan yang hanya FSBP diaktifkan. Untuk informasi selengkapnya, lihat Jenis kebijakan konfigurasi.
catatan
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengaktifkan standar apa pun kecuali Standar yang Dikelola Layanan:. AWS Control Tower Anda dapat mengaktifkan standar ini hanya dalam AWS Control Tower layanan. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat hanya di AWS Control Tower.
Jika Anda ingin beberapa akun mengonfigurasi standarnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi standar secara terpisah di setiap Wilayah.
Mengaktifkan standar dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau jika Anda adalah akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan standar dalam satu akun dan Wilayah.
Secara otomatis mengaktifkan standar keamanan default
Jika Anda tidak menggunakan konfigurasi pusat, Security Hub secara otomatis mengaktifkan standar keamanan default di akun baru saat mereka bergabung dengan organisasi Anda. Semua kontrol yang merupakan bagian dari standar default juga diaktifkan secara otomatis. Saat ini, standar keamanan default yang diaktifkan secara otomatis adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Anda dapat menonaktifkan standar yang diaktifkan secara otomatis jika Anda lebih suka mengaktifkan standar secara manual di akun baru.
Jika Anda menggunakan konfigurasi pusat, Anda dapat membuat kebijakan konfigurasi yang mengaktifkan standar default dan mengaitkan kebijakan ini dengan root. Semua akun organisasi Anda dan OUs akan mewarisi kebijakan konfigurasi ini kecuali jika dikaitkan dengan kebijakan yang berbeda atau dikelola sendiri.
Matikan standar yang diaktifkan secara otomatis
Langkah-langkah berikut hanya berlaku jika Anda mengintegrasikan dengan AWS Organizations tetapi tidak menggunakan konfigurasi pusat. Jika Anda tidak menggunakan integrasi Organizations, Anda dapat menonaktifkan standar default saat pertama kali mengaktifkan Security Hub, atau Anda dapat mengikuti langkah-langkah untuk menonaktifkan standar.
Menonaktifkan standar keamanan
Saat Anda menonaktifkan standar keamanan di Security Hub, hal berikut akan terjadi:
-
Semua kontrol yang berlaku untuk standar juga dinonaktifkan kecuali jika dikaitkan dengan standar lain.
-
Pemeriksaan untuk kontrol yang dinonaktifkan tidak lagi dilakukan, dan tidak ada temuan tambahan yang dihasilkan untuk kontrol yang dinonaktifkan.
-
Temuan yang ada untuk kontrol yang dinonaktifkan diarsipkan secara otomatis setelah sekitar 3-5 hari.
-
AWS Config Aturan yang dibuat oleh Security Hub untuk kontrol yang dinonaktifkan akan dihapus.
Ini biasanya terjadi dalam beberapa menit setelah Anda menonaktifkan standar, tetapi mungkin memakan waktu lebih lama. Jika permintaan pertama untuk menghapus AWS Config aturan gagal, maka Security Hub mencoba ulang setiap 12 jam. Namun, jika Anda menonaktifkan Security Hub atau tidak mengaktifkan standar lain, maka Security Hub tidak dapat mencoba lagi permintaan tersebut, artinya tidak dapat menghapus AWS Config aturan. Jika ini terjadi, dan Anda perlu menghapus AWS Config aturan, hubungi AWS Support.
Menonaktifkan standar di beberapa akun dan Wilayah
Untuk menonaktifkan standar keamanan di beberapa akun dan Wilayah, Anda harus menggunakan konfigurasi pusat.
Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi yang menonaktifkan satu atau beberapa standar. Anda dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan OUs atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.
Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk menonaktifkan Standar Keamanan Data Industri Kartu Pembayaran (PCIDSS) dalam satu OU, dan Anda dapat memilih untuk menonaktifkan keduanya PCI DSS dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 di OU lain. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan standar tertentu, lihatMembuat dan mengaitkan kebijakan konfigurasi.
catatan
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk menonaktifkan standar apa pun kecuali Standar yang Dikelola Layanan:. AWS Control Tower Anda dapat menonaktifkan standar ini hanya dalam AWS Control Tower layanan. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat hanya di AWS Control Tower.
Jika Anda ingin beberapa akun mengonfigurasi standarnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi standar secara terpisah di setiap Wilayah.
Menonaktifkan standar dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk menonaktifkan standar dalam satu akun dan Wilayah.