Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per AWS Config
Questi controlli del Security Hub valutano il AWS Config servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse
Requisiti correlati: benchmark CIS AWS Foundations versione 1.2.0/2.5, benchmark CIS AWS Foundations versione 1.4.0/3.5, benchmark CIS AWS Foundations v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6 (1), NIST.800-53.r5 CM-8 (2), PCI DSS v3.2.r5 10.5.2, PCI DSS versione 3.2.1/11.5
Categoria: Identificazione > Inventario
Severità: critica
Tipo di risorsa: AWS::::Account
AWS Config regola: Nessuna (regola personalizzata del Security Hub)
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Il controllo non valuta se AWS Config utilizza il ruolo collegato al servizio se il parametro è impostato su. |
Booleano |
|
|
Questo controllo verifica se AWS Config è abilitato nell'account corrente Regione AWS, registra tutte le risorse che corrispondono ai controlli abilitati nella regione corrente e utilizza il ruolo collegato al servizio AWS Config. Il nome del ruolo collegato al servizio è. AWSServiceRoleForConfig Se non si utilizza il ruolo collegato al servizio e non si imposta il includeConfigServiceLinkedRoleCheck parametro sufalse, il controllo ha esito negativo perché altri ruoli potrebbero non disporre delle autorizzazioni necessarie per AWS Config registrare accuratamente le risorse.
Il AWS Config servizio esegue la gestione della configurazione delle AWS risorse supportate nell'account e fornisce i file di registro. Le informazioni registrate includono l'elemento di configurazione (AWS risorsa), le relazioni tra gli elementi di configurazione e qualsiasi modifica alla configurazione all'interno delle risorse. Le risorse globali sono risorse disponibili in qualsiasi regione.
Il controllo viene valutato come segue:
Se la regione corrente è impostata come regione di aggregazione, il controllo produce
PASSEDrisultati solo se vengono registrate risorse globali AWS Identity and Access Management (IAM) (se sono stati abilitati i controlli che li richiedono).Se la regione corrente è impostata come regione collegata, il controllo non valuta se le risorse globali IAM sono registrate.
Se la regione corrente non è nel tuo aggregatore o se l'aggregazione tra regioni non è impostata nel tuo account, il controllo produce
PASSEDrisultati solo se le risorse globali IAM sono registrate (se hai abilitato i controlli che li richiedono).
I risultati del controllo non sono influenzati dalla scelta della registrazione giornaliera o continua delle modifiche allo stato delle risorse in. AWS Config Tuttavia, i risultati di questo controllo possono cambiare quando vengono rilasciati nuovi controlli se è stata configurata l'attivazione automatica di nuovi controlli o se si dispone di una politica di configurazione centrale che abilita automaticamente nuovi controlli. In questi casi, se non si registrano tutte le risorse, è necessario configurare la registrazione per le risorse associate ai nuovi controlli per ricevere un PASSED risultato.
I controlli di sicurezza di Security Hub funzionano come previsto solo se si abilita AWS Config in tutte le regioni e si configura la registrazione delle risorse per i controlli che la richiedono.
Nota
Config.1 richiede che AWS Config sia abilitato in tutte le regioni in cui si utilizza Security Hub.
Poiché Security Hub è un servizio regionale, il controllo eseguito per questo controllo valuta solo la regione corrente per l'account.
Per consentire i controlli di sicurezza sulle risorse globali IAM in una regione, devi registrare le risorse globali IAM in quella regione. Le regioni in cui non sono registrate risorse globali IAM riceveranno un PASSED risultato predefinito per i controlli che controllano le risorse globali IAM. Poiché le risorse globali IAM sono identiche in tutte le aree Regioni AWS, ti consigliamo di registrare le risorse globali IAM solo nella regione principale (se l'aggregazione interregionale è abilitata nel tuo account). Le risorse IAM verranno registrate solo nella regione in cui è attivata la registrazione delle risorse globali.
I tipi di risorse IAM registrati a livello globale che AWS Config supportano sono utenti, gruppi, ruoli e politiche gestite dai clienti IAM. Puoi prendere in considerazione la possibilità di disabilitare i controlli del Security Hub che controllano questi tipi di risorse nelle regioni in cui la registrazione globale delle risorse è disattivata. Per ulteriori informazioni, consulta Controlli consigliati da disabilitare in Security Hub.
Correzione
Nella regione principale e nelle regioni che non fanno parte di un aggregatore, registra tutte le risorse necessarie per i controlli abilitati nella regione corrente, incluse le risorse globali IAM se hai abilitato controlli che richiedono risorse globali IAM.
Nelle regioni collegate, è possibile utilizzare qualsiasi modalità di AWS Config registrazione, purché si registrino tutte le risorse che corrispondono ai controlli abilitati nella regione corrente. Nelle regioni collegate, se hai abilitato i controlli che richiedono la registrazione di risorse globali IAM, non riceverai alcun FAILED risultato (la registrazione di altre risorse è sufficiente).
Il StatusReasons campo nell'Complianceoggetto della ricerca può aiutarti a determinare il motivo per cui hai fallito la ricerca per questo controllo. Per ulteriori informazioni, consulta Dettagli sulla conformità per i risultati del controllo.
Per un elenco delle risorse da registrare per ogni controllo, vedereAWS Config Risorse necessarie per i risultati del controllo del Security Hub. Per informazioni generali sull'attivazione AWS Config e la configurazione della registrazione delle risorse, vedereAbilitazione e configurazione AWS Config per Security Hub.
