Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei controlli tra gli standard
AWS Security Hub genera risultati per i controlli abilitati e considera tutti i controlli abilitati nel calcolo dei punteggi di sicurezza. È possibile scegliere di abilitare e disabilitare i controlli in tutti gli standard di sicurezza o configurare lo stato di abilitazione in modo diverso a seconda degli standard. Consigliamo la prima opzione, in cui lo stato di attivazione di un controllo è allineato a tutti gli standard abilitati. Questa sezione spiega come abilitare e disabilitare i controlli tra gli standard. Per abilitare o disabilitare un controllo in uno o più standard specifici, vedereConfigurazione dei controlli in standard specifici.
Se è stata impostata una regione di aggregazione, la console Security Hub mostra i controlli di tutte le regioni collegate. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione.
Nota
Le istruzioni per abilitare e disabilitare i controlli variano a seconda che si utilizzi o meno la configurazione centrale. Questa sezione descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub e AWS Organizations. Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione dei controlli in ambienti con più account e più regioni.
Abilitazione dei controlli
Quando abiliti un controllo in uno standard, Security Hub inizia a eseguire i controlli di sicurezza per il controllo e a generare i risultati del controllo.
Security Hub include lo stato del controllo nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Se attivi i risultati del controllo consolidato, riceverai un unico risultato per un controllo di sicurezza anche se hai abilitato un controllo in più standard. Per ulteriori informazioni, consulta Risultati dei controlli consolidati.
Attivazione del controllo in tutti gli standard su più account e regioni
Per abilitare un controllo di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.
Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che abilitano controlli specifici su tutti gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.
Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, consulta. Creazione e associazione di policy di configurazione
Nota
L'amministratore delegato può creare policy di configurazione per gestire i controlli in tutti gli standard tranne il Service-Managed Standard: AWS Control Tower. I controlli per questo standard devono essere configurati in AWS Control Tower servizio.
Se si desidera che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.
Abilitare il controllo in tutti gli standard in un unico account e regione
Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.
Abilitazione automatica di nuovi controlli negli standard abilitati
Security Hub rilascia regolarmente nuovi controlli di sicurezza e li aggiunge a uno o più standard. Puoi scegliere se abilitare automaticamente i nuovi controlli negli standard abilitati.
Nota
Ti consigliamo di utilizzare la configurazione centrale per abilitare automaticamente i nuovi controlli. Se la politica di configurazione include un elenco di controlli da disabilitare (a livello di codice, questo riflette il DisabledSecurityControlIdentifiers
parametro), Security Hub abilita automaticamente tutti gli altri controlli tra gli standard, inclusi i controlli appena rilasciati. Se la tua politica include un elenco di controlli da abilitare (questo riflette il EnabledSecurityControlIdentifiers
parametro), Security Hub disabilita automaticamente tutti gli altri controlli tra gli standard, compresi quelli appena rilasciati. Per ulteriori informazioni, consulta Come funzionano le politiche di configurazione in Security Hub.
Scegli il metodo di accesso preferito e segui i passaggi per abilitare automaticamente i nuovi controlli negli standard abilitati. Le seguenti istruzioni si applicano solo se non utilizzi la configurazione centrale.
Disabilitazione dei controlli
Quando si disattiva un controllo in tutti gli standard, si verifica quanto segue:
-
I controlli di sicurezza per il controllo non vengono più eseguiti.
-
Non vengono generati ulteriori risultati per tale verifica.
-
I risultati esistenti vengono archiviati automaticamente dopo 3-5 giorni (si noti che questa è la soluzione migliore).
-
Qualsiasi argomento correlato AWS Config le regole create da Security Hub vengono rimosse.
Invece di disabilitare un controllo in tutti gli standard, puoi semplicemente disabilitarlo in uno o più standard specifici. In tal caso, Security Hub non esegue controlli di sicurezza per il controllo degli standard in cui l'hai disabilitato, quindi non influisce sul punteggio di sicurezza per tali standard. Tuttavia, Security Hub mantiene il AWS Config regola e continua a eseguire i controlli di sicurezza per il controllo se è abilitato in altri standard. Ciò può influire sul punteggio di sicurezza riepilogativo. Per istruzioni sulla configurazione dei controlli in standard specifici, consultaConfigurazione dei controlli in standard specifici.
Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. Per consigli su quali controlli disabilitare, vedi Controlli del Security Hub che potresti voler disabilitare.
Quando disabiliti uno standard, tutti i controlli che si applicano allo standard vengono disabilitati (tuttavia, tali controlli potrebbero rimanere abilitati in altri standard). Per informazioni sulla disabilitazione di uno standard, vedereConfigurazione degli standard in Security Hub.
Quando disabiliti uno standard, Security Hub non tiene traccia dei controlli applicabili che sono stati disabilitati. Se successivamente riattivi lo stesso standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Inoltre, la disabilitazione di un controllo non è un'azione permanente. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard precedentemente disabilitato. Se lo standard include quel controllo, sarà abilitato in quello standard. Quando abiliti uno standard in Security Hub, tutti i controlli che si applicano a quello standard vengono abilitati automaticamente. Puoi scegliere di disabilitare controlli specifici.
Disattivazione di un controllo in tutti gli standard su più account e regioni
Per disabilitare un controllo di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.
Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che disabilitano i controlli specifici tra gli standard abilitati. È quindi possibile associare la politica di configurazione a account specifici o alla directory principale. OUs Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.
Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di disabilitare tutto AWS CloudTrail controlli in un'unità organizzativa ed è possibile scegliere di disabilitare tutti i IAM controlli in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che disabiliti controlli specifici tra gli standard, vedi. Creazione e associazione di policy di configurazione
Nota
L'amministratore delegato può creare policy di configurazione per gestire i controlli in tutti gli standard tranne il Service-Managed Standard: AWS Control Tower. I controlli per questo standard devono essere configurati in AWS Control Tower servizio.
Se si desidera che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.
Disattivazione di un controllo in tutti gli standard in un unico account e regione
Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per disabilitare un controllo in un singolo account e regione.