Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Quando abiliti uno standard di sicurezza in AWS Security Hub, tutti i controlli che si applicano allo standard vengono abilitati automaticamente in esso. Security Hub inizia anche a eseguire controlli di sicurezza e a generare risultati per i controlli che si applicano allo standard.
Prima di abilitare qualsiasi standard di sicurezza, è necessario attivare la registrazione delle risorse AWS Config per tutte le risorse utilizzate dai controlli che si applicano allo standard. In caso contrario, Security Hub potrebbe non essere in grado di generare risultati per i controlli che si applicano a uno standard. Per ulteriori informazioni, consulta Considerazioni prima dell'attivazione e della configurazione AWS Config.
È possibile scegliere quali controlli abilitare e disabilitare in ogni standard. La disabilitazione di un controllo interrompe la generazione dei risultati relativi al controllo e il controllo viene ignorato durante il calcolo dei punteggi di sicurezza.
Quando abiliti Security Hub, Security Hub calcola il punteggio di sicurezza iniziale per uno standard entro 30 minuti dalla prima visita alla pagina di riepilogo o alla pagina degli standard di sicurezza sulla console di Security Hub. La generazione dei punteggi di sicurezza per la prima volta nelle regioni della Cina e AWS GovCloud (US) Region può richiedere fino a 24 ore. I punteggi vengono generati solo per gli standard abilitati quando visiti quelle pagine. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Dopo la prima generazione del punteggio, Security Hub aggiorna il punteggio di sicurezza ogni 24 ore. Security Hub visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta. Per visualizzare un elenco degli standard attualmente abilitati nel tuo account, richiama il GetEnabledStandardsAPI.
Le istruzioni per abilitare uno standard variano a seconda che si utilizzi o meno la configurazione centrale. È possibile utilizzare la configurazione centrale se si integra Security Hub e AWS Organizations. Ti consigliamo di utilizzare la configurazione centrale se desideri abilitare gli standard in ambienti con più account e più regioni. Se non utilizzi la configurazione centrale, devi abilitare singolarmente ogni standard in ogni account e in ogni regione.
Abilitazione di uno standard in più account e regioni
Per abilitare uno standard di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.
Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che abilitano uno o più standard. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.
Le politiche di configurazione offrono la personalizzazione. Ad esempio, è possibile scegliere di abilitare solo AWS Foundational Security Best Practices (FSBP) in un'unità organizzativa e di abilitare FSBP e Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 in un'altra unità organizzativa. Per istruzioni sulla creazione di una politica di configurazione che abiliti gli standard specifici, vedere Creazione e associazione di policy di configurazione
Se utilizzi la configurazione centrale, Security Hub non abilita automaticamente nessuno standard negli account nuovi o esistenti. Invece, quando crea una politica di configurazione, l'amministratore delegato definisce quali standard abilitare nei diversi account. Security Hub offre una politica di configurazione consigliata in cui è abilitato solo FSBP. Per ulteriori informazioni, consulta Tipi di politiche di configurazione.
Nota
L'amministratore delegato può creare politiche di configurazione per abilitare qualsiasi standard tranne Service-Managed Standard:. AWS Control TowerÈ possibile abilitare questo standard solo nel servizio. AWS Control Tower Se si utilizza la configurazione centrale, è possibile abilitare e disabilitare i controlli di questo standard per un account gestito centralmente solo in AWS Control Tower.
Se desideri che alcuni account configurino i propri standard anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare gli standard separatamente in ciascuna regione.
Abilitazione di uno standard in un unico account e regione
Se non utilizzi la configurazione centrale o se sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente gli standard in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare uno standard in un unico account e regione.
Per abilitare uno standard in un account e in un'unica regione
Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/
. -
Conferma di utilizzare Security Hub nella regione in cui desideri abilitare lo standard.
-
Nel riquadro di navigazione Security Hub, scegli Standard di sicurezza.
-
Per lo standard che si desidera abilitare, scegliere Enable (Abilita). Ciò abilita anche tutti i controlli all'interno di quello standard.
-
Ripetere l'operazione in ogni regione in cui si desidera abilitare lo standard.
