Comprendere la configurazione centrale in Security Hub - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere la configurazione centrale in Security Hub

La configurazione centrale è una funzionalità di Security Hub che consente di configurare e gestire Security Hub su più server. Account AWS e Regioni AWS. Per utilizzare la configurazione centrale, devi prima integrare Security Hub e AWS Organizations. È possibile integrare i servizi creando un'organizzazione e designando un account amministratore delegato di Security Hub per l'organizzazione.

Dall'account amministratore delegato di Security Hub, è possibile specificare in che modo il servizio Security Hub, gli standard di sicurezza e i controlli di sicurezza sono configurati negli account e nelle unità organizzative dell'organizzazione (OUs) in tutte le regioni. È possibile configurare queste impostazioni in pochi passaggi da una regione principale, denominata regione di origine.

Quando si utilizza la configurazione centrale, l'amministratore delegato può scegliere quali account e OUs configurare. Se l'amministratore delegato designa un account membro o un'unità organizzativa come autogestita, il membro può configurare le proprie impostazioni separatamente in ciascuna regione. Se l'amministratore delegato designa un account membro o un'unità organizzativa come gestita centralmente, solo l'amministratore delegato può configurare l'account membro o l'unità organizzativa in tutte le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi.

Per configurare gli account gestiti centralmente, l'amministratore delegato utilizza le politiche di configurazione del Security Hub. I criteri di configurazione consentono all'amministratore delegato di specificare se Security Hub è abilitato o disabilitato e quali standard e controlli sono abilitati e disabilitati. Possono essere utilizzati anche per personalizzare i parametri di determinati controlli.

Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato specifica la regione di origine dell'organizzazione e le regioni collegate prima di iniziare a utilizzare la configurazione centrale. La specificazione delle regioni collegate è facoltativa. L'amministratore delegato può creare un'unica politica di configurazione per l'intera organizzazione o creare più politiche di configurazione per configurare impostazioni variabili per diversi account e. OUs

Suggerimento

Se non si utilizza la configurazione centrale, è necessario configurare in gran parte Security Hub separatamente in ogni account e regione. Questa è chiamata configurazione locale. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.

Questa sezione fornisce una panoramica della configurazione centrale.

Vantaggi dell'utilizzo della configurazione centrale

I vantaggi della configurazione centrale includono quanto segue:

Semplifica la configurazione del servizio e delle funzionalità del Security Hub

Quando utilizzi la configurazione centrale, Security Hub ti guida attraverso il processo di configurazione delle best practice di sicurezza per la tua organizzazione. Inoltre, distribuisce le politiche di configurazione risultanti su account specifici e OUs automaticamente. Se disponi di impostazioni esistenti del Security Hub, come l'abilitazione automatica di nuovi controlli di sicurezza, puoi utilizzarle come punto di partenza per le tue politiche di configurazione. Inoltre, la pagina Configurazione sulla console di Security Hub mostra un riepilogo in tempo reale delle policy di configurazione e degli account e dei singoli criteri OUs utilizzati.

Configurazione su più account e regioni

È possibile utilizzare la configurazione centrale per configurare Security Hub su più account e regioni. Questo aiuta a garantire che ogni parte dell'organizzazione mantenga una configurazione coerente e una copertura di sicurezza adeguata.

Adatta configurazioni diverse in account diversi e OUs

Con la configurazione centralizzata, puoi scegliere di configurare gli account della tua organizzazione e OUs in diversi modi. Ad esempio, gli account di test e gli account di produzione potrebbero richiedere configurazioni diverse. Puoi anche creare una politica di configurazione che copra i nuovi account quando entrano a far parte dell'organizzazione.

Previeni la deriva della configurazione

La modifica della configurazione si verifica quando un utente apporta una modifica a un servizio o a una funzionalità che è in conflitto con le selezioni dell'amministratore delegato. La configurazione centrale impedisce questa deriva. Quando si designa un account o un'unità organizzativa come gestito centralmente, tale account o unità organizzativa è configurabile solo dall'amministratore delegato dell'organizzazione. Se si preferisce che un account o un'unità organizzativa specifici configurino le proprie impostazioni, è possibile designarlo come autogestito.

Quando utilizzare la configurazione centrale?

La configurazione centrale è particolarmente utile per AWS ambienti che includono più account Security Hub. È progettato per aiutarti a gestire centralmente Security Hub per più account.

È possibile utilizzare la configurazione centrale per configurare il servizio Security Hub, gli standard di sicurezza e i controlli di sicurezza. Puoi anche usarlo per personalizzare i parametri di determinati controlli. Per ulteriori informazioni sugli standard di sicurezza, vedereComprendere gli standard di sicurezza in Security Hub. Per ulteriori informazioni sui controlli di sicurezza, vedereComprendere i controlli di sicurezza in Security Hub.

Termini e concetti relativi alla configurazione centrale

La comprensione dei seguenti termini e concetti chiave può aiutarti a utilizzare la configurazione centrale di Security Hub.

Configurazione centrale

Una funzionalità di Security Hub che aiuta l'account amministratore delegato di Security Hub di un'organizzazione a configurare il servizio Security Hub, gli standard di sicurezza e i controlli di sicurezza su più account e regioni. Per configurare queste impostazioni, l'amministratore delegato crea e gestisce le politiche di configurazione del Security Hub per gli account gestiti centralmente nella propria organizzazione. Gli account autogestiti possono configurare le proprie impostazioni separatamente in ciascuna regione. Per utilizzare la configurazione centrale, è necessario integrare Security Hub e AWS Organizations.

Regione d'origine

Il Regione AWS da cui l'amministratore delegato configura centralmente Security Hub, creando e gestendo le politiche di configurazione. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.

La regione di origine funge anche da regione di aggregazione del Security Hub, ricevendo risultati, approfondimenti e altri dati dalle regioni collegate.

Regioni che AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. Una regione opt-in non può essere la regione di origine, ma può essere una regione collegata. Per un elenco delle regioni che hanno scelto di aderire, consulta Considerazioni prima di abilitare e disabilitare le regioni nella AWS Guida di riferimento per la gestione degli account.

Regione collegata

Un record Regione AWS che è configurabile dalla regione di origine. Le politiche di configurazione vengono create dall'amministratore delegato nella regione di origine. Le politiche hanno effetto nella regione di origine e in tutte le regioni collegate. La specificazione delle regioni collegate è facoltativa.

Una regione collegata invia inoltre risultati, approfondimenti e altri dati alla regione di origine.

Regioni che AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. È necessario abilitare tale regione per un account prima di potervi applicare una politica di configurazione. L'account di gestione Organizations può abilitare le regioni opzionali per un account membro. Per ulteriori informazioni, consulta Specificare quali Regioni AWS il tuo account può utilizzare in AWS Guida di riferimento per la gestione degli account.

Target

Un record Account AWS, unità organizzativa (OU) o radice dell'organizzazione.

Politica di configurazione del Security Hub

Una raccolta di impostazioni del Security Hub che l'amministratore delegato può configurare per destinazioni gestite centralmente. Questo include:

  • Se abilitare o disabilitare Security Hub.

  • Se abilitare uno o più standard di sicurezza.

  • Quali controlli di sicurezza abilitare tra gli standard abilitati. L'amministratore delegato può farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub disabilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati). In alternativa, l'amministratore delegato può fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub abilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati).

  • Facoltativamente, personalizza i parametri per selezionare i controlli abilitati tra gli standard abilitati.

Una politica di configurazione ha effetto nella regione di origine e in tutte le regioni collegate dopo essere stata associata ad almeno un account, un'unità organizzativa (OU) o la directory principale.

Sulla console Security Hub, l'amministratore delegato può scegliere la politica di configurazione consigliata da Security Hub o creare policy di configurazione personalizzate. Con il Security Hub API e AWS CLI, l'amministratore delegato può solo creare politiche di configurazione personalizzate. L'amministratore delegato può creare un massimo di 20 politiche di configurazione personalizzate.

Nella politica di configurazione consigliata, Security Hub, AWS Lo standard Foundational Security Best Practices (FSBP) e tutti i FSBP controlli nuovi ed esistenti sono abilitati. I controlli che accettano i parametri utilizzano i valori predefiniti. La politica di configurazione consigliata si applica all'intera organizzazione.

Per applicare impostazioni diverse all'organizzazione o applicare politiche di configurazione diverse a account diversi e OUs creare una politica di configurazione personalizzata.

Configurazione locale

Il tipo di configurazione predefinito per un'organizzazione, dopo l'integrazione di Security Hub e AWS Organizations. Con la configurazione locale, l'amministratore delegato può scegliere di abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione nella regione corrente. Se l'amministratore delegato abilita automaticamente gli standard predefiniti, tutti i controlli che fanno parte di questi standard vengono abilitati automaticamente anche con parametri predefiniti per i nuovi account dell'organizzazione. Queste impostazioni non si applicano agli account esistenti, quindi è possibile modificare la configurazione dopo che un account si unisce all'organizzazione. La disabilitazione di controlli specifici che fanno parte degli standard predefiniti e la configurazione di standard e controlli aggiuntivi devono essere eseguite separatamente in ogni account e regione.

La configurazione locale non supporta l'uso di politiche di configurazione. Per utilizzare i criteri di configurazione, è necessario passare alla configurazione centrale.

Gestione manuale degli account

Se non integri Security Hub con AWS Organizations oppure hai un account indipendente, devi specificare le impostazioni per ogni account separatamente in ogni regione. La gestione manuale degli account non supporta l'uso di politiche di configurazione.

Configurazione centrale APIs

Operazioni di Security Hub che solo l'amministratore del Security Hub delegato di Security Hub può utilizzare nella regione di residenza per gestire le politiche di configurazione per gli account gestiti centralmente. Le operazioni includono:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

Specifico per account APIs

Operazioni di Security Hub che possono essere utilizzate per abilitare o disabilitare Security Hub, standard e controlli su account-by-account base individuale. Queste operazioni vengono utilizzate in ogni singola regione.

Gli account autogestiti possono utilizzare operazioni specifiche dell'account per configurare le proprie impostazioni. Gli account gestiti centralmente non possono utilizzare le seguenti operazioni specifiche dell'account nella regione di origine e nelle regioni collegate. In tali regioni, solo l'amministratore delegato può configurare gli account gestiti centralmente tramite operazioni di configurazione e politiche di configurazione centralizzate.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Per verificare lo stato dell'account, il proprietario di un account gestito centralmente può utilizzare Get qualsiasi Describe operazione del Security HubAPI.

Se si utilizza la configurazione locale o la gestione manuale degli account, anziché la configurazione centrale, è possibile utilizzare queste operazioni specifiche dell'account.

Gli account autogestiti possono inoltre essere utilizzati e utilizzati*Invitations. *Members Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.

Unità organizzativa (UO)

In AWS Organizations e Security Hub, un contenitore per un gruppo di Account AWS. Un'unità organizzativa (OU) può anche contenerne altreOUs, il che consente di creare una gerarchia simile a un albero capovolto, con un'unità organizzativa principale nella parte superiore e i rami di quest'ultima OUs che si estendono verso il basso, terminando con gli account che sono le foglie dell'albero. Un'unità organizzativa può avere esattamente un genitore e ogni account dell'organizzazione può essere membro di una sola unità organizzativa.

È possibile gestire OUs in AWS Organizations oppure AWS Control Tower. Per ulteriori informazioni, vedere Gestione delle unità organizzative nella AWS Organizations Guida per l'utente o gestisci organizzazioni e account con AWS Control Tower nella AWS Control Tower Guida per l'utente.

L'amministratore delegato può associare le politiche di configurazione a account specifici oppure OUs alla directory principale per coprire tutti gli account e OUs all'interno di un'organizzazione.

Gestito centralmente

Un obiettivo che solo l'amministratore delegato può configurare in tutte le regioni utilizzando le politiche di configurazione.

L'account amministratore delegato specifica se una destinazione è gestita centralmente. L'amministratore delegato può anche modificare lo stato di una destinazione da gestita centralmente a gestita automaticamente o viceversa.

Autogestito

Una destinazione che gestisce le proprie impostazioni del Security Hub. Un target autogestito utilizza operazioni specifiche dell'account per configurare Security Hub separatamente in ciascuna regione. Ciò è in contrasto con gli obiettivi gestiti centralmente, che sono configurabili solo dall'amministratore delegato in tutte le regioni tramite politiche di configurazione.

L'account amministratore delegato specifica se una destinazione è gestita automaticamente. L'amministratore delegato può applicare un comportamento autogestito a una destinazione. In alternativa, un account o un'unità organizzativa può ereditare il comportamento autogestito da un genitore.

L'account amministratore delegato può essere esso stesso un account autogestito. L'account amministratore delegato può modificare lo stato di una destinazione da autogestito a gestito centralmente o viceversa.

Associazione alla politica di configurazione

Un collegamento tra una politica di configurazione e un account, un'unità organizzativa (OU) o una radice. Quando esiste un'associazione di policy, l'account, l'unità organizzativa o la root utilizza le impostazioni definite dalla politica di configurazione. Esiste un'associazione in entrambi i casi:

  • Quando l'amministratore delegato applica direttamente una politica di configurazione a un account, un'unità organizzativa o una directory principale

  • Quando un account o un'unità organizzativa eredita una politica di configurazione da un'unità organizzativa principale o dalla directory principale

Un'associazione esiste finché non viene applicata o ereditata una configurazione diversa.

Politica di configurazione applicata

Un tipo di associazione di criteri di configurazione in cui l'amministratore delegato applica direttamente una politica di configurazione agli account di destinazione o alla directory principale. OUs Gli obiettivi sono configurati nel modo definito dalla politica di configurazione e solo l'amministratore delegato può modificarne la configurazione. Se applicata a root, la politica di configurazione influisce su tutti gli account e OUs nell'organizzazione che non utilizzano una configurazione diversa tramite l'applicazione o l'ereditarietà dal genitore più vicino.

L'amministratore delegato può anche applicare una configurazione autogestita ad account specifici o alla directory principaleOUs.

Politica di configurazione ereditata

Un tipo di associazione di criteri di configurazione in cui un account o un'unità organizzativa adotta la configurazione dell'unità organizzativa principale o principale più vicina. Se un criterio di configurazione non viene applicato direttamente a un account o a un'unità organizzativa, eredita la configurazione dell'elemento principale più vicino. Tutti gli elementi di una policy vengono ereditati. In altre parole, un account o un'unità organizzativa non possono scegliere di ereditare selettivamente solo parti di una politica. Se il genitore più vicino è autogestito, l'account figlio o l'unità organizzativa eredita il comportamento autogestito del genitore.

L'ereditarietà non può sovrascrivere una configurazione applicata. In altre parole, se un criterio di configurazione o una configurazione autogestita viene applicata direttamente a un account o a un'unità organizzativa, utilizza tale configurazione e non eredita la configurazione dell'unità principale.

Root

In AWS Organizations e Security Hub, il nodo principale di livello superiore di un'organizzazione. Se l'amministratore delegato applica una politica di configurazione a root, la politica viene associata a tutti gli account e all'interno dell'organizzazione OUs a meno che non utilizzino una politica diversa, tramite l'applicazione o l'ereditarietà, o non siano designati come autogestiti. Se l'amministratore definisce la directory principale come autogestita, tutti gli account e l'organizzazione vengono gestiti automaticamente, OUs a meno che non utilizzino una politica di configurazione tramite l'applicazione o l'ereditarietà. Se la directory principale è gestita automaticamente e al momento non esistono criteri di configurazione, tutti i nuovi account dell'organizzazione mantengono le impostazioni correnti.

I nuovi account che entrano a far parte di un'organizzazione rientrano nella cartella principale finché non vengono assegnati a un'unità organizzativa specifica. Se un nuovo account non viene assegnato a un'unità organizzativa, eredita la configurazione principale a meno che l'amministratore delegato non lo designi come account autogestito.