Abilitare un controllo attraverso gli standard - AWS Security Hub
Abilitazione multistandard in ambienti con più account e più regioniAbilitazione multistandard in un unico account e regione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitare un controllo attraverso gli standard

Consigliamo di abilitare un AWS Security Hub controllo su tutti gli standard a cui si applica il controllo. Se si attivano i risultati del controllo consolidato, si riceve un risultato per controllo anche se un controllo appartiene a più di uno standard.

Abilitazione multistandard in ambienti con più account e più regioni

Per abilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario accedere all'account amministratore delegato di Security Hub e utilizzare la configurazione centrale.

Nella configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che abilitano controlli specifici attraverso gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, consulta. Creazione e associazione di policy di configurazione

Nota

L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il Service-Managed Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

Abilitazione multistandard in un unico account e regione

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.

Security Hub console
Per abilitare un controllo su più standard in un account e in un'unica regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Scegli Controlli dal pannello di navigazione.

  3. Scegli la scheda Disabilitato.

  4. Scegli l'opzione accanto a un controllo.

  5. Scegli Abilita controllo (questa opzione non viene visualizzata per un controllo già abilitato).

  6. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

Security Hub API
Per abilitare il controllo su più standard in un account e in un'unica regione

  1. Invoca il ListStandardsControlAssociationsAPI. Fornisci un ID di controllo di sicurezza.

    Richiesta di esempio:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoca il BatchUpdateStandardsControlAssociationsAPI. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standardARNs, esegui DescribeStandards.

  3. Imposta il AssociationStatus parametro uguale aENABLED. Se segui questi passaggi per un controllo già abilitato, API restituisce una risposta con il codice di HTTP stato 200.

    Richiesta di esempio:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Ripetere l'operazione in ogni regione in cui si desidera abilitare il controllo.

AWS CLI
Per abilitare il controllo su più standard in un account e in un'unica regione

  1. Eseguire list-standards-control-associationscomando. Fornisci un ID di controllo di sicurezza.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Eseguire batch-update-standards-control-associationscomando. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standardARNs, esegui il describe-standards comando.

  3. Imposta il AssociationStatus parametro uguale aENABLED. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di HTTP stato 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.