Creazione e associazione di policy di configurazione - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e associazione di policy di configurazione

L'account AWS Security Hub amministratore delegato può creare policy di configurazione che specificano in che modo Security Hub, standard e controlli sono configurati in account e unità organizzative specifici (OUs). Una politica di configurazione ha effetto solo dopo che l'amministratore delegato la associa ad almeno un account o unità organizzativa (OUs) o alla radice. L'amministratore delegato può anche associare una configurazione autogestita agli account o alla directory principaleOUs.

Se è la prima volta che crei una politica di configurazione, ti consigliamo di esaminarla prima. Come funzionano le politiche di configurazione in Security Hub

Scegliete il metodo di accesso preferito e seguite i passaggi per creare e associare una policy di configurazione o una configurazione autogestita. Quando si utilizza la console Security Hub, è possibile associare una configurazione a più account o OUs contemporaneamente. Quando si utilizza Security Hub API o AWS CLI, è possibile associare una configurazione a un solo account o unità organizzativa in ogni richiesta.

Nota

Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine. Quando utilizzi la configurazione centrale, non hai la copertura necessaria per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate. Per un elenco dei controlli che coinvolgono risorse globali, consultaControlli che utilizzano risorse globali.

Security Hub console
Per creare e associare politiche di configurazione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Configurazione e la scheda Politiche. Quindi, scegli Crea politica.

  3. Nella pagina Configura organizzazione, se è la prima volta che crei una politica di configurazione, vedi tre opzioni in Tipo di configurazione. Se hai già creato almeno una politica di configurazione, vedi solo l'opzione Politica personalizzata.

    • Scegli Usa la configurazione AWS consigliata di Security Hub in tutta la mia organizzazione per utilizzare la nostra politica consigliata. La policy consigliata abilita Security Hub in tutti gli account dell'organizzazione, abilita lo standard AWS Foundational Security Best Practices (FSBP) e abilita tutti i FSBP controlli nuovi ed esistenti. I controlli utilizzano i valori dei parametri predefiniti.

    • Scegli Non sono ancora pronto a configurare per creare una politica di configurazione in un secondo momento.

    • Scegli Politica personalizzata per creare una politica di configurazione personalizzata. Specificare se abilitare o disabilitare Security Hub, quali standard abilitare e quali controlli abilitare in base a tali standard. Facoltativamente, specifica i valori dei parametri personalizzati per uno o più controlli abilitati che supportano i parametri personalizzati.

  4. Nella sezione Account, scegli a quali account di destinazione o la directory principale a cui desideri applicare la politica di configurazione. OUs

    • Scegli Tutti gli account se desideri applicare la politica di configurazione alla radice. Ciò include tutti gli account e l'organizzazione OUs a cui non è stata applicata o ereditata un'altra politica.

    • Scegli Account specifici se desideri applicare la politica di configurazione a account specifici oOUs. Inserisci l'account IDs o seleziona gli account OUs dalla struttura dell'organizzazione. È possibile applicare la politica a un massimo di 15 destinazioni (account o root) al momento della creazione. OUs Per specificare un numero maggiore, modifica la policy dopo la creazione e applicala a obiettivi aggiuntivi.

    • Scegli Solo l'amministratore delegato per applicare la politica di configurazione all'account amministratore delegato corrente.

  5. Scegli Next (Successivo).

  6. Nella pagina Rivedi e applica, esamina i dettagli della politica di configurazione. Quindi, scegli Crea politica e applica. Nella tua regione d'origine e nelle aree collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati alla politica di configurazione tramite l'applicazione o l'ereditarietà da un nodo principale. Gli account secondari e le destinazioni applicate erediteranno automaticamente questa politica OUs di configurazione a meno che non vengano specificamente esclusi, gestiti automaticamente o utilizzino una politica di configurazione diversa.

Security Hub API
Per creare e associare politiche di configurazione

  1. Invoca il CreateConfigurationPolicyAPIdall'account amministratore delegato di Security Hub nella regione di residenza.

  2. PerName, fornisci un nome univoco per la politica di configurazione. FacoltativamenteDescription, fornisci una descrizione della politica di configurazione.

  3. Per il ServiceEnabled campo, specifica se desideri che Security Hub sia abilitato o disabilitato in questa politica di configurazione.

  4. Per il EnabledStandardIdentifiers campo, specifica quali standard Security Hub desideri abilitare in questa politica di configurazione.

  5. Per l'SecurityControlsConfigurationoggetto, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta EnabledSecurityControlIdentifiers significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta DisabledSecurityControlIdentifiers significa che i controlli specificati sono disabilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

  6. Facoltativamente, per il SecurityControlCustomParameters campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. CUSTOMSpecificate il ValueType campo e il valore del parametro personalizzato per il Value campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta Comprensione dei parametri di controllo in Security Hub.

  7. Per applicare la politica di configurazione agli account oppureOUs, richiama il StartConfigurationPolicyAssociationAPIdall'account amministratore delegato di Security Hub nella regione di residenza.

  8. Per il ConfigurationPolicyIdentifier campo, fornisci l'Amazon Resource Name (ARN) o l'identificatore univoco universale (UUID) della politica. I ARN e UUID vengono restituiti da. CreateConfigurationPolicy API Per una configurazione autogestita, il ConfigurationPolicyIdentifier campo è uguale aSELF_MANAGED_SECURITY_HUB.

  9. Per il Target campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo per ogni API richiesta. Gli account secondari e OUs della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non vengano gestiti autonomamente o utilizzino una politica di configurazione diversa.

Esempio API di richiesta per creare una politica di configurazione:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Esempio di API richiesta di associazione di una politica di configurazione:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Per creare e associare politiche di configurazione

  1. Eseguire create-configuration-policycomando dall'account amministratore delegato di Security Hub nella regione di residenza.

  2. Pername, fornisci un nome univoco per la politica di configurazione. Facoltativamentedescription, fornisci una descrizione della politica di configurazione.

  3. Per il ServiceEnabled campo, specifica se desideri che Security Hub sia abilitato o disabilitato in questa politica di configurazione.

  4. Per il EnabledStandardIdentifiers campo, specifica quali standard Security Hub desideri abilitare in questa politica di configurazione.

  5. Per il SecurityControlsConfiguration campo, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta EnabledSecurityControlIdentifiers significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta DisabledSecurityControlIdentifiers significa che i controlli specificati sono disabilitati. Gli altri controlli che si applicano agli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

  6. Facoltativamente, per il SecurityControlCustomParameters campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. CUSTOMSpecificate il ValueType campo e il valore del parametro personalizzato per il Value campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta Comprensione dei parametri di controllo in Security Hub.

  7. Per applicare la politica di configurazione agli account oppureOUs, esegui il start-configuration-policy-associationcomando dall'account amministratore delegato di Security Hub nella regione di residenza.

  8. Per il configuration-policy-identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione. Questo ARN e ID vengono restituiti dal create-configuration-policy comando.

  9. Per il target campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo ogni volta che si esegue il comando. I figli della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non si gestiscano autonomamente o utilizzino una politica di configurazione diversa.

Comando di esempio per creare una politica di configurazione:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Comando di esempio per associare una politica di configurazione:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociationAPIRestituisce un campo chiamatoAssociationStatus. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a SUCCESS o FAILURE può richiedere fino a 24 ore. PENDING Per ulteriori informazioni sullo stato dell'associazione, vedereRevisione dello stato di associazione di una politica di configurazione.