Abilitazione e configurazione AWS Config per Security Hub - AWS Security Hub
Considerazioni prima dell'attivazione e della configurazione AWS ConfigRegistrazione delle risorse in AWS ConfigModi per abilitare e configurare AWS ConfigControllo Config.1Generazione delle regole collegate ai serviziConsiderazioni sui costi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione e configurazione AWS Config per Security Hub

AWS Security Hub utilizza AWS Config regole per eseguire controlli di sicurezza e generare risultati per la maggior parte dei controlli. AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo Account AWS. Utilizza regole per stabilire una configurazione di base per le risorse e un registratore di configurazione per rilevare se una particolare risorsa viola le condizioni di una regola. Alcune regole, denominate regole AWS Config gestite, sono predefinite e sviluppate da. AWS Config Altre regole sono regole AWS Config personalizzate sviluppate da Security Hub.

AWS Config le regole utilizzate da Security Hub per i controlli sono denominate regole collegate ai servizi. Le regole collegate ai servizi consentono, Servizi AWS ad esempio a Security Hub, di creare AWS Config regole nell'account.

Per ricevere i risultati dei controlli in Security Hub, devi abilitarli AWS Config nel tuo account e attivare la registrazione delle risorse valutate dai controlli abilitati.

Questa pagina spiega come abilitare AWS Config Security Hub e attivare la registrazione delle risorse.

Considerazioni prima dell'attivazione e della configurazione AWS Config

Per ricevere i risultati del controllo in Security Hub, il tuo account deve essere AWS Config abilitato in tutti i paesi in Regione AWS cui è abilitato Security Hub. Se si utilizza Security Hub per un ambiente con più account, AWS Config deve essere abilitato in ogni regione nell'account amministratore e in tutti gli account dei membri.

Ti consigliamo vivamente di attivare la registrazione delle risorse AWS Config prima di abilitare gli standard e i controlli del Security Hub. Questo ti aiuta a garantire che i risultati dei controlli siano accurati.

Per attivare la registrazione delle risorse AWS Config, è necessario disporre di autorizzazioni sufficienti per registrare le risorse nel ruolo AWS Identity and Access Management (IAM) associato al registratore di configurazione. Inoltre, assicuratevi che non vi sia alcuna IAM politica o politica gestita AWS Organizations che AWS Config impedisca di avere l'autorizzazione a registrare le vostre risorse. I controlli di controllo del Security Hub valutano direttamente la configurazione di una risorsa e non tengono conto delle politiche di Organizations. Per ulteriori informazioni sulla AWS Config registrazione, consulta Elenco delle regole AWS Config gestite: considerazioni nella Guida per gli AWS Config sviluppatori.

Se abiliti uno standard in Security Hub ma non lo hai abilitato AWS Config, Security Hub tenta di creare AWS Config regole secondo la seguente pianificazione:

  • Il giorno in cui abiliti lo standard

  • Il giorno dopo aver abilitato lo standard

  • 3 giorni dopo l'attivazione dello standard

  • 7 giorni dopo l'attivazione dello standard (e successivamente ogni 7 giorni consecutivi)

Se si utilizza la configurazione centrale, Security Hub tenta anche di creare le regole AWS Config collegate ai servizi ogni volta che si associa una politica di configurazione che abilita uno o più standard agli account, alle unità organizzative (OUs) o alla radice.

Registrazione delle risorse in AWS Config

Quando si abilita AWS Config, è necessario specificare quali AWS risorse si desidera che il registratore di AWS Config configurazione registri. Attraverso le regole collegate ai servizi, il registratore di configurazione consente a Security Hub di rilevare le modifiche nelle configurazioni delle risorse.

Affinché Security Hub generi risultati di controllo accurati, è necessario attivare la registrazione AWS Config per le risorse che corrispondono ai controlli abilitati. Sono principalmente abilitati i controlli con un tipo di pianificazione innescato dalla modifica che richiedono la registrazione delle risorse. Per un elenco dei controlli e AWS Config delle relative risorse, vedereAWS Config Risorse necessarie per i risultati del controllo del Security Hub.

avvertimento

Se non configuri correttamente AWS Config la registrazione per i controlli del Security Hub, i risultati dei controlli possono essere imprecisi, in particolare nei seguenti casi:

  • Non hai mai registrato la risorsa per un determinato controllo, disabilitato la registrazione di una risorsa prima di creare quel tipo di risorsa o assegnato al registratore di configurazione un IAM ruolo che non fornisse le autorizzazioni per registrare la risorsa. In questi casi, riceverete un PASSED risultato relativo al controllo in questione, anche se potreste aver creato delle risorse che rientrano nell'ambito del controllo dopo aver disattivato la registrazione. Questo PASSED risultato è un risultato predefinito che in realtà non valuta lo stato di configurazione della risorsa.

  • Si disabilita la registrazione di una risorsa che viene valutata da un particolare controllo. In questo caso, Security Hub conserva i risultati del controllo generati prima della disattivazione della registrazione, anche se il controllo non valuta risorse nuove o aggiornate. Questi risultati conservati potrebbero non riflettere accuratamente lo stato di configurazione corrente di una risorsa.

Per impostazione predefinita, AWS Config registra tutte le risorse regionali supportate che rileva nel sistema Regione AWS in cui è in esecuzione. Per ricevere tutti i risultati del controllo del Security Hub, è inoltre necessario AWS Config configurare la registrazione delle risorse globali. Per risparmiare sui costi, consigliamo di registrare le risorse globali solo in una singola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa regione dovrebbe essere la tua regione di origine.

In AWS Config, puoi scegliere tra la registrazione continua e la registrazione giornaliera delle modifiche allo stato delle risorse. Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati del Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.

Per ulteriori informazioni sulla AWS Config registrazione, consulta Recording AWS resources nella Developer Guide.AWS Config

Modi per abilitare e configurare AWS Config

È possibile abilitare AWS Config e attivare la registrazione delle risorse in uno dei seguenti modi:

  • AWS Config console: è possibile abilitare AWS Config un account utilizzando la AWS Config console. Per istruzioni, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori.

  • AWS CLI oppure SDKs — È possibile attivare AWS Config un account utilizzando AWS Command Line Interface (AWS CLI). Per istruzioni, consulta Configurazione AWS Config con AWS CLI nella Guida per gli AWS Config sviluppatori. AWS i kit di sviluppo software (SDKs) sono disponibili anche per molti linguaggi di programmazione.

  • CloudFormation modello — Se desideri abilitare AWS Config per un numero elevato di account, ti consigliamo di utilizzare il AWS CloudFormation modello denominato Enable. AWS Config Per accedere a questo modello, consulta i modelli di AWS CloudFormation StackSets esempio nella Guida AWS CloudFormation per l'utente.

    Per impostazione predefinita, questo modello esclude la registrazione per le risorse IAM globali. Assicurati di attivare la registrazione per le risorse IAM globali in una sola regione per ridurre i costi di registrazione. Se hai abilitato l'aggregazione tra regioni, questa dovrebbe essere la tua area di residenza del Security Hub. Altrimenti, può essere disponibile un qualsiasi Regione AWS Security Hub che supporti la registrazione di risorse IAM globali. Ti consigliamo di eseguirne uno StackSet per registrare tutte le risorse, incluse le risorse IAM globali, nella regione di origine o in un'altra regione selezionata. Quindi, esegui un secondo StackSet per registrare tutte le risorse tranne le risorse IAM globali in altre regioni.

  • Script Github: Security Hub offre uno GitHub script che abilita Security Hub e AWS Config per più account tra le regioni. Questo script è utile se non ti sei integrato con Organizations o se disponi di alcuni account membro che non fanno parte di un'organizzazione.

Per ulteriori informazioni, consulta Ottimizza AWS Config per AWS Security Hub gestire efficacemente la tua posizione di sicurezza nel cloud.

Controllo Config.1

Il controllo Security Hub Config.1 genera FAILED risultati nel tuo account se AWS Config è disabilitato o se non hai attivato la registrazione delle risorse per i controlli abilitati. Se sei l'amministratore delegato del Security Hub di un'organizzazione, AWS Config la registrazione deve essere configurata correttamente nel tuo account e negli account dei membri. Se si utilizza l'aggregazione tra regioni, AWS Config la registrazione deve essere configurata correttamente nella regione di origine e in tutte le regioni collegate (le risorse globali non devono essere registrate nelle regioni collegate).

Per ricevere un PASSED risultato per Config.1, attiva la registrazione delle risorse per tutte le risorse che corrispondono ai controlli abilitati del Security Hub e disabilita i controlli che non sono richiesti nella tua organizzazione. Questo aiuta a garantire che non si verifichino lacune di configurazione nei controlli di sicurezza e che si ottengano risultati accurati sulle risorse configurate in modo errato.

Generazione delle regole collegate ai servizi

Per ogni controllo che utilizza una regola AWS Config collegata al servizio, Security Hub crea istanze della regola richiesta nel tuo ambiente. AWS

Queste regole collegate ai servizi sono specifiche di Security Hub. Security Hub crea queste regole collegate ai servizi anche se esistono già altre istanze delle stesse regole. La regola collegata al servizio viene aggiunta securityhub prima del nome della regola originale e un identificatore univoco dopo il nome della regola. Ad esempio, per la regola AWS Config gestitavpc-flow-logs-enabled, il nome della regola collegata al servizio sarebbe qualcosa di simile. securityhub-vpc-flow-logs-enabled-12345

Esistono limiti al numero di regole AWS Config gestite che possono essere utilizzate per valutare i controlli. AWS Config Le regole personalizzate create da Security Hub non vengono conteggiate ai fini di tale limite. Puoi abilitare uno standard di sicurezza anche se hai già raggiunto il AWS Config limite per le regole gestite nel tuo account. Per ulteriori informazioni sui limiti delle AWS Config regole, consulta Limiti del servizio AWS Config nella Guida per gli AWS Config sviluppatori.

Considerazioni sui costi

Security Hub può influire sui costi AWS Config del registratore di configurazione aggiornando l'elemento AWS::Config::ResourceCompliance di configurazione. Gli aggiornamenti possono avvenire ogni volta che un controllo Security Hub associato a una AWS Config regola modifica lo stato di conformità, viene abilitato o disabilitato o presenta aggiornamenti dei parametri. Se utilizzi il registratore di AWS Config configurazione solo per Security Hub e non usi questo elemento di configurazione per altri scopi, ti consigliamo di disattivarne la registrazione. AWS Config Questo può ridurre i AWS Config costi. Non è necessario registrarsi AWS::Config::ResourceCompliance per far funzionare i controlli di sicurezza in Security Hub.

Per informazioni sui costi associati alla registrazione delle risorse, consulta AWS Security Hub prezzi e AWS Config prezzi.