Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli consigliati da disabilitare in Security Hub
Consigliamo di disabilitare alcuni AWS Security Hub controlli per ridurre i rumori di ricerca e limitare i costi.
Controlli che utilizzano risorse globali
Alcuni Servizi AWS supportano risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sui costi di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.
Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:
Tutti i CloudFront controlli: disponibili solo negli Stati Uniti orientali (Virginia settentrionale)
GlobalAccelerator.1 — Disponibile solo negli Stati Uniti occidentali (Oregon)
Route53.2 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)
WAF.1, WAF .6, WAF .7 e WAF .8 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)
Nota
Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, non hai la copertura necessaria per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.
Per ulteriori informazioni sulla configurazione centrale, consultaComprendere la configurazione centrale in Security Hub.
Comprendere la configurazione centrale in Security Hub.
.
Per i controlli con un tipo di pianificazione periodica, è necessario disabilitarli in Security Hub per impedire la fatturazione. L'impostazione del AWS Config parametro includeGlobalResourceTypes su false non influisce sui controlli periodici del Security Hub.
Di seguito è riportato un elenco di controlli del Security Hub che utilizzano risorse globali:
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»
-
[IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM
-
[IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere
-
[IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console
-
[IAM.6] L'hardware MFA deve essere abilitato per l'utente root
-
[IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide
-
[IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo
-
[IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero
-
[IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password
-
[IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM
-
[IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess
-
[IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato
-
[Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS
-
[WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] la ACL registrazione AWS WAF web deve essere abilitata
CloudTrail controlli di registrazione
Questo controllo si occupa dell'utilizzo di AWS Key Management Service (AWS KMS) per crittografare i log delle AWS CloudTrail tracce. Se registri questi percorsi in un account di registrazione centralizzato, devi solo abilitare questo controllo nell'account e nella regione in cui avviene la registrazione centralizzata.
Nota
Se si utilizza la configurazione centrale, lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, sopprimi i risultati dei seguenti controlli per ridurre i disturbi rilevati.
CloudWatch allarmi e controlli
Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare questi controlli, che si concentrano sugli CloudWatch allarmi.
