Disattivazione di uno standard di sicurezza in Security Hub - AWS Security Hub
Disabilitazione di uno standard in più account e regioniDisabilitazione di uno standard in un unico account e regione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disattivazione di uno standard di sicurezza in Security Hub

Quando si disabilita uno standard di sicurezza in Security Hub, si verifica quanto segue:

  • Tutti i controlli che si applicano allo standard sono inoltre disabilitati a meno che non siano associati a un altro standard.

  • I controlli per i controlli disabilitati non vengono più eseguiti e non vengono generati risultati aggiuntivi per i controlli disabilitati.

  • I risultati esistenti relativi ai controlli disabilitati vengono archiviati automaticamente dopo circa 3-5 giorni.

  • Le AWS Config regole che Security Hub ha creato per i controlli disabilitati vengono rimosse.

    Questa operazione si verifica in genere entro pochi minuti dalla disattivazione dello standard, ma potrebbe richiedere più tempo. Se la prima richiesta di eliminazione delle AWS Config regole fallisce, Security Hub riprova ogni 12 ore. Tuttavia, se hai disabilitato Security Hub o non hai abilitato nessun altro standard, Security Hub non può riprovare la richiesta, il che significa che non può eliminare le AWS Config regole. Se ciò si verifica e devi eliminare AWS Config le regole, contatta AWS Support.

Disabilitazione di uno standard in più account e regioni

Per disabilitare uno standard di sicurezza su più account e regioni, è necessario utilizzare la configurazione centrale.

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che disabilitano uno o più standard. È possibile associare una politica di configurazione a account specifici OUs e/o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, è possibile scegliere di disabilitare Payment Card Industry Data Security Standard (PCIDSS) in un'unità organizzativa e disabilitare entrambe le PCI DSS unità e il National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 in un'altra unità organizzativa. Per istruzioni sulla creazione di una politica di configurazione che disabiliti gli standard specifici, vedere. Creazione e associazione di policy di configurazione

Nota

L'amministratore delegato può creare politiche di configurazione per disabilitare qualsiasi standard tranne il Service-Managed Standard:. AWS Control TowerÈ possibile disabilitare questo standard solo nel servizio. AWS Control Tower Se si utilizza la configurazione centrale, è possibile abilitare e disabilitare i controlli di questo standard per un account gestito centralmente solo in AWS Control Tower.

Se desideri che alcuni account configurino i propri standard anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare gli standard separatamente in ciascuna regione.

Disabilitazione di uno standard in un unico account e regione

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente gli standard in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per disabilitare uno standard in un unico account e regione.

Security Hub console
Per disabilitare uno standard in un account e in una regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Conferma di utilizzare Security Hub nella regione in cui desideri disabilitare lo standard.

  3. Nel pannello di navigazione Security Hub, scegli Standard di sicurezza.

  4. Per lo standard che si desidera disabilitare, scegliere Disable (Disabilita).

  5. Ripeti l'operazione in ogni regione in cui desideri disabilitare lo standard.

Security Hub API
Per disabilitare uno standard in un account e in una regione

  1. Invoca il BatchDisableStandards API.

  2. Per ogni standard che desideri disabilitare, fornisci l'abbonamento ARN standard. Per ottenere l'abbonamento ARNs per gli standard abilitati, richiama il GetEnabledStandards API.

  3. Ripeti l'operazione in ogni regione in cui desideri disabilitare lo standard.

AWS CLI
Per disabilitare uno standard in un account e in una regione

  1. Eseguire batch-disable-standardscomando.

  2. Per ogni standard che desideri disabilitare, fornisci l'abbonamento standardARN. Per ottenere l'abbonamento ARNs per gli standard abilitati, esegui get-enabled-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Esempio

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Ripetere l'operazione in ogni regione in cui si desidera disabilitare lo standard.