Grundlegendes zur zentralen Konfiguration in Security Hub - AWS Security Hub
Vorteile der Verwendung der zentralen KonfigurationWann sollte die zentrale Konfiguration verwendet werden?Zentrale Begriffe und Konzepte zur Konfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zur zentralen Konfiguration in Security Hub

Die zentrale Konfiguration ist eine Security Hub-Funktion, mit der Sie Security Hub für mehrere Benutzer einrichten und verwalten können AWS-Konten and AWS-Regionen. Um die zentrale Konfiguration verwenden zu können, müssen Sie zuerst Security Hub integrieren und AWS Organizations. Sie können die Dienste integrieren, indem Sie eine Organisation erstellen und ein delegiertes Security Hub-Administratorkonto für die Organisation festlegen.

Über das delegierte Security Hub-Administratorkonto können Sie angeben, wie der Security Hub Hub-Dienst, die Sicherheitsstandards und die Sicherheitskontrollen in Ihren Unternehmenskonten und Organisationseinheiten (OUs) regionsübergreifend konfiguriert werden. Sie können diese Einstellungen in nur wenigen Schritten von einer Hauptregion aus konfigurieren, die als Heimatregion bezeichnet wird.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator auswählen, welche Konten konfiguriert werden OUs sollen. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als selbstverwaltetes Konto festlegt, kann das Mitglied seine eigenen Einstellungen in jeder Region separat konfigurieren. Wenn der delegierte Administrator ein Mitgliedskonto oder eine Organisationseinheit als zentral verwaltet festlegt, kann nur der delegierte Administrator das Mitgliedskonto oder die Organisationseinheit regionsübergreifend konfigurieren. Sie können alle Konten OUs in Ihrer Organisation als zentral verwaltet, alle selbstverwaltet oder als eine Kombination aus beidem festlegen.

Um zentral verwaltete Konten zu konfigurieren, verwendet der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien. Mithilfe von Konfigurationsrichtlinien kann der delegierte Administrator angeben, ob Security Hub aktiviert oder deaktiviert ist und welche Standards und Kontrollen aktiviert und deaktiviert sind. Sie können auch verwendet werden, um die Parameter bestimmter Steuerelemente anzupassen.

Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Der delegierte Administrator gibt die Heimatregion der Organisation und die verknüpften Regionen an, bevor er die zentrale Konfiguration verwendet. Die Angabe verknüpfter Regionen ist optional. Der delegierte Administrator kann eine einzige Konfigurationsrichtlinie für die gesamte Organisation oder mehrere Konfigurationsrichtlinien erstellen, um variable Einstellungen für verschiedene Konten und OUs zu konfigurieren.

Tipp

Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als lokale Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub und eine begrenzte Anzahl von Sicherheitsstandards in neuen Unternehmenskonten in der aktuellen Region automatisch aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

Dieser Abschnitt bietet einen Überblick über die zentrale Konfiguration.

Vorteile der Verwendung der zentralen Konfiguration

Die zentrale Konfiguration bietet unter anderem folgende Vorteile:

Vereinfachen Sie die Konfiguration des Security Hub Hub-Dienstes und der Funktionen

Wenn Sie die zentrale Konfiguration verwenden, führt Sie Security Hub durch den Prozess der Konfiguration bewährter Sicherheitsmethoden für Ihr Unternehmen. Außerdem werden die daraus resultierenden Konfigurationsrichtlinien OUs automatisch für bestimmte Konten bereitgestellt. Wenn Sie über bestehende Security Hub Hub-Einstellungen verfügen, z. B. die automatische Aktivierung neuer Sicherheitskontrollen, können Sie diese als Ausgangspunkt für Ihre Konfigurationsrichtlinien verwenden. Darüber hinaus wird auf der Konfigurationsseite der Security Hub Hub-Konsole in Echtzeit eine Zusammenfassung Ihrer Konfigurationsrichtlinien angezeigt und angegeben, welche Konten und welche Richtlinien OUs verwenden.

Konten- und regionsübergreifend konfigurieren

Sie können die zentrale Konfiguration verwenden, um Security Hub für mehrere Konten und Regionen zu konfigurieren. Auf diese Weise können Sie sicherstellen, dass jeder Teil Ihres Unternehmens eine konsistente Konfiguration und einen angemessenen Sicherheitsschutz beibehält.

Passen Sie unterschiedliche Konfigurationen in unterschiedlichen Konten an und OUs

Bei der zentralen Konfiguration können Sie wählen, ob Sie die Konten Ihrer Organisation auf unterschiedliche OUs Weise konfigurieren möchten. Beispielsweise können für Ihre Testkonten und Produktionskonten unterschiedliche Konfigurationen erforderlich sein. Sie können auch eine Konfigurationsrichtlinie erstellen, die neue Konten abdeckt, wenn diese der Organisation beitreten.

Vermeiden Sie Konfigurationsabweichungen

Konfigurationsabweichungen treten auf, wenn ein Benutzer eine Änderung an einem Dienst oder einer Funktion vornimmt, die mit den Einstellungen des delegierten Administrators in Konflikt steht. Die zentrale Konfiguration verhindert diese Abweichung. Wenn Sie ein Konto oder eine Organisationseinheit als zentral verwaltet kennzeichnen, kann sie nur vom delegierten Administrator der Organisation konfiguriert werden. Wenn Sie es vorziehen, dass ein bestimmtes Konto oder eine bestimmte Organisationseinheit ihre eigenen Einstellungen konfiguriert, können Sie es als selbstverwaltet kennzeichnen.

Wann sollte die zentrale Konfiguration verwendet werden?

Die zentrale Konfiguration ist am vorteilhaftesten für AWS Umgebungen, die mehrere Security Hub Hub-Konten enthalten. Es wurde entwickelt, um Ihnen zu helfen, Security Hub für mehrere Konten zentral zu verwalten.

Sie können die zentrale Konfiguration verwenden, um den Security Hub Hub-Dienst, die Sicherheitsstandards und die Sicherheitskontrollen zu konfigurieren. Sie können es auch verwenden, um die Parameter bestimmter Steuerelemente anzupassen. Weitere Informationen zu Sicherheitsstandards finden Sie unterSicherheitsstandards in Security Hub verstehen. Weitere Informationen zu Sicherheitskontrollen finden Sie unterGrundlegendes zu den Sicherheitskontrollen in Security Hub.

Zentrale Begriffe und Konzepte zur Konfiguration

Wenn Sie die folgenden wichtigen Begriffe und Konzepte verstehen, können Sie die zentrale Konfiguration von Security Hub verwenden.

Zentrale Konfiguration

Eine Security Hub-Funktion, die dem delegierten Security Hub-Administratorkonto für eine Organisation hilft, den Security Hub Hub-Dienst, Sicherheitsstandards und Sicherheitskontrollen für mehrere Konten und Regionen zu konfigurieren. Um diese Einstellungen zu konfigurieren, erstellt und verwaltet der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien für zentral verwaltete Konten in seiner Organisation. Selbstverwaltete Konten können ihre eigenen Einstellungen in jeder Region separat konfigurieren. Um die zentrale Konfiguration zu verwenden, müssen Sie Security Hub integrieren und AWS Organizations.

Heimatregion

Das Tool AWS-Region von dem aus der delegierte Administrator Security Hub zentral konfiguriert, indem er Konfigurationsrichtlinien erstellt und verwaltet. Konfigurationsrichtlinien gelten in der Heimatregion und allen verknüpften Regionen.

Die Heimatregion dient auch als Security Hub-Aggregationsregion, in der Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen abgerufen werden.

Regionen, die AWS Die am oder nach dem 20. März 2019 eingeführten Regionen werden als Opt-in-Regionen bezeichnet. Eine Opt-in-Region kann nicht die Heimatregion sein, aber es kann sich um eine verknüpfte Region handeln. Eine Liste der Opt-in-Regionen finden Sie unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen in der AWS Referenzhandbuch zur Kontoverwaltung.

Verknüpfte Region

Importieren in &S3; AWS-Region das ist von der Heimatregion aus konfigurierbar. Konfigurationsrichtlinien werden vom delegierten Administrator in der Heimatregion erstellt. Die Richtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Die Angabe verknüpfter Regionen ist optional.

Eine verknüpfte Region sendet auch Ergebnisse, Erkenntnisse und andere Daten an die Heimatregion.

Regionen, die AWS Die am oder nach dem 20. März 2019 eingeführten Regionen werden als Opt-in-Regionen bezeichnet. Sie müssen eine solche Region für ein Konto aktivieren, bevor eine Konfigurationsrichtlinie darauf angewendet werden kann. Das Verwaltungskonto für Organizations kann Opt-in-Regionen für ein Mitgliedskonto aktivieren. Weitere Informationen finden Sie unter Geben Sie an, welche AWS-Regionen Ihr Konto kann verwendet werden in AWS Referenzhandbuch zur Kontoverwaltung.

Ziel

Importieren in &S3; AWS-Konto, Organisationseinheit (OU) oder das Stammverzeichnis der Organisation.

Security Hub Hub-Konfigurationsrichtlinie

Eine Sammlung von Security Hub Hub-Einstellungen, die der delegierte Administrator für zentral verwaltete Ziele konfigurieren kann. Dies umfasst:

  • Ob Security Hub aktiviert oder deaktiviert werden soll.

  • Ob ein oder mehrere Sicherheitsstandards aktiviert werden sollen.

  • Welche Sicherheitskontrollen für alle aktivierten Standards aktiviert werden sollen. Der delegierte Administrator kann dies tun, indem er eine Liste bestimmter Steuerelemente bereitstellt, die aktiviert werden sollten, und Security Hub deaktiviert alle anderen Kontrollen (einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden). Alternativ kann der delegierte Administrator eine Liste mit bestimmten Kontrollen bereitstellen, die deaktiviert werden sollten, und Security Hub aktiviert alle anderen Kontrollen (einschließlich neuer Kontrollen, wenn sie veröffentlicht werden).

  • Passen Sie optional die Parameter für ausgewählte aktivierte Steuerelemente in allen aktivierten Standards an.

Eine Konfigurationsrichtlinie wird in der Heimatregion und allen verknüpften Regionen wirksam, nachdem sie mindestens einem Konto, einer Organisationseinheit (OU) oder dem Stammverzeichnis zugeordnet wurde.

Auf der Security Hub-Konsole kann der delegierte Administrator die von Security Hub empfohlene Konfigurationsrichtlinie auswählen oder benutzerdefinierte Konfigurationsrichtlinien erstellen. Mit dem Security Hub API und AWS CLI, kann der delegierte Administrator nur benutzerdefinierte Konfigurationsrichtlinien erstellen. Der delegierte Administrator kann maximal 20 benutzerdefinierte Konfigurationsrichtlinien erstellen.

In der empfohlenen Konfigurationsrichtlinie, Security Hub, AWS Standard Basic Security Best Practices (FSBP), und alle vorhandenen und neuen FSBP Kontrollen sind aktiviert. Steuerelemente, die Parameter akzeptieren, verwenden die Standardwerte. Die empfohlene Konfigurationsrichtlinie gilt für die gesamte Organisation.

Um unterschiedliche Einstellungen auf die Organisation anzuwenden oder unterschiedliche Konfigurationsrichtlinien auf verschiedene Konten anzuwenden und OUs eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen.

Lokale Konfiguration

Der Standardkonfigurationstyp für eine Organisation, nach der Integration von Security Hub und AWS Organizations. Bei der lokalen Konfiguration kann der delegierte Administrator festlegen, dass Security Hub und Standardsicherheitsstandards in neuen Unternehmenskonten in der aktuellen Region automatisch aktiviert werden. Wenn der delegierte Administrator die Standardstandards automatisch aktiviert, werden alle Kontrollen, die Teil dieser Standards sind, auch automatisch mit Standardparametern für neue Organisationskonten aktiviert. Diese Einstellungen gelten nicht für bestehende Konten, sodass es nach dem Beitritt eines Kontos zur Organisation zu Konfigurationsabweichungen kommen kann. Die Deaktivierung bestimmter Kontrollen, die Teil der Standardstandards sind, und die Konfiguration zusätzlicher Standards und Kontrollen müssen für jedes Konto und jede Region separat erfolgen.

Die lokale Konfiguration unterstützt die Verwendung von Konfigurationsrichtlinien nicht. Um Konfigurationsrichtlinien zu verwenden, müssen Sie zur zentralen Konfiguration wechseln.

Manuelle Kontoverwaltung

Wenn Sie Security Hub nicht integrieren mit AWS Organizations oder Sie haben ein eigenständiges Konto, müssen Sie die Einstellungen für jedes Konto in jeder Region separat angeben. Die manuelle Kontoverwaltung unterstützt die Verwendung von Konfigurationsrichtlinien nicht.

Zentrale Konfiguration APIs

Security Hub-Operationen, die nur der vom Security Hub delegierte Security Hub-Administrator in der Heimatregion verwenden kann, um Konfigurationsrichtlinien für zentral verwaltete Konten zu verwalten. Zu den Vorgängen gehören:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

Kontospezifisch APIs

Security Hub-Operationen, die verwendet werden können, um Security Hub, Standards und Kontrollen auf einer bestimmten account-by-account Basis zu aktivieren oder zu deaktivieren. Diese Operationen werden in jeder einzelnen Region verwendet.

Selbstverwaltete Konten können kontospezifische Operationen verwenden, um ihre eigenen Einstellungen zu konfigurieren. Zentral verwaltete Konten können die folgenden kontospezifischen Vorgänge in der Heimatregion und verknüpften Regionen nicht verwenden. In diesen Regionen kann nur der delegierte Administrator zentral verwaltete Konten mithilfe zentraler Konfigurationsvorgänge und Konfigurationsrichtlinien konfigurieren.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Um den Kontostatus zu überprüfen, kann der Besitzer eines zentral verwalteten Kontos alle Get Describe Funktionen des Security Hub verwendenAPI.

Wenn Sie statt der zentralen Konfiguration die lokale Konfiguration oder die manuelle Kontoverwaltung verwenden, können Sie diese kontospezifischen Operationen verwenden.

Selbstverwaltete Konten können auch AND-Operationen verwenden*Invitations. *Members Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

Organisationseinheit (OU)

In AWS Organizations und Security Hub, ein Container für eine Gruppe von AWS-Konten. Eine Organisationseinheit (OU) kann auch andere enthaltenOUs, sodass Sie eine Hierarchie erstellen können, die einem umgedrehten Baum ähnelt, mit einer übergeordneten Organisationseinheit an der Spitze und Verzweigungen dieser Organisationseinheit, OUs die nach unten reichen und in Konten enden, die Blätter des Baums sind. Eine Organisationseinheit kann genau eine übergeordnete Organisationseinheit haben, und jedes Organisationskonto kann Mitglied genau einer Organisationseinheit sein.

Sie können verwalten OUs in AWS Organizations or AWS Control Tower. Weitere Informationen finden Sie unter Verwaltung von Organisationseinheiten im AWS Organizations Benutzerhandbuch oder Verwalte Organisationen und Konten mit AWS Control Tower in der AWS Control Tower Benutzerleitfaden.

Der delegierte Administrator kann Konfigurationsrichtlinien bestimmten Konten oder dem Stammkonto zuordnenOUs, um alle Konten und OUs in einer Organisation abzudecken.

Zentral verwaltet

Ein Ziel, das nur der delegierte Administrator mithilfe von Konfigurationsrichtlinien regionsübergreifend konfigurieren kann.

Das delegierte Administratorkonto gibt an, ob ein Ziel zentral verwaltet wird. Der delegierte Administrator kann auch den Status eines Ziels von zentral verwaltet in selbstverwaltet ändern oder umgekehrt.

Selbstverwaltet

Ein Ziel, das seine eigenen Security Hub Hub-Einstellungen verwaltet. Ein selbstverwaltetes Ziel verwendet kontospezifische Operationen, um Security Hub für sich selbst in jeder Region separat zu konfigurieren. Dies steht im Gegensatz zu zentral verwalteten Zielen, die nur vom delegierten Administrator regionsübergreifend über Konfigurationsrichtlinien konfiguriert werden können.

Das delegierte Administratorkonto gibt an, ob ein Ziel selbst verwaltet wird. Der delegierte Administrator kann selbstverwaltetes Verhalten auf ein Ziel anwenden. Alternativ kann ein Konto oder eine Organisationseinheit das selbstverwaltete Verhalten von einem Elternteil erben.

Das delegierte Administratorkonto kann selbst ein selbstverwaltetes Konto sein. Das delegierte Administratorkonto kann den Status eines Ziels von selbstverwaltet in zentral verwaltet ändern oder umgekehrt.

Zuordnung von Konfigurationsrichtlinien

Eine Verknüpfung zwischen einer Konfigurationsrichtlinie und einem Konto, einer Organisationseinheit (OU) oder einem Stamm. Wenn eine Richtlinienzuordnung vorhanden ist, verwendet das Konto, die Organisationseinheit oder das Stammverzeichnis die in der Konfigurationsrichtlinie definierten Einstellungen. In einem der folgenden Fälle besteht eine Zuordnung:

  • Wenn der delegierte Administrator eine Konfigurationsrichtlinie direkt auf ein Konto, eine Organisationseinheit oder einen Root-Benutzer anwendet

  • Wenn ein Konto oder eine Organisationseinheit eine Konfigurationsrichtlinie von einer übergeordneten Organisationseinheit oder der Stammorganisation erbt

Eine Zuordnung besteht, bis eine andere Konfiguration angewendet oder vererbt wird.

Angewendete Konfigurationsrichtlinie

Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der der delegierte Administrator eine Konfigurationsrichtlinie direkt auf Zielkonten oder das Stammkonto anwendet. OUs Ziele werden so konfiguriert, wie sie in der Konfigurationsrichtlinie definiert sind, und nur der delegierte Administrator kann ihre Konfiguration ändern. Wenn die Konfigurationsrichtlinie auf das Stammverzeichnis angewendet wird, wirkt sie sich auf alle Konten und OUs in der Organisation aus, die keine andere Konfiguration verwenden, und zwar entweder durch Anwendung oder Vererbung durch das nächstgelegene übergeordnete Unternehmen.

Der delegierte Administrator kann eine selbstverwaltete Konfiguration auch auf bestimmte Konten oder das OUs Stammkonto anwenden.

Geerbte Konfigurationsrichtlinie

Eine Art von Zuordnung von Konfigurationsrichtlinien, bei der ein Konto oder eine Organisationseinheit die Konfiguration der nächstgelegenen übergeordneten Organisationseinheit oder der Stammorganisation übernimmt. Wenn eine Konfigurationsrichtlinie nicht direkt auf ein Konto oder eine Organisationseinheit angewendet wird, erbt sie die Konfiguration der nächstgelegenen übergeordneten Organisation. Alle Elemente einer Richtlinie werden vererbt. Mit anderen Worten, ein Konto oder eine Organisationseinheit kann sich nicht dafür entscheiden, selektiv nur Teile einer Richtlinie zu erben. Wenn der nächstgelegene Elternteil selbst verwaltet wird, erbt das untergeordnete Konto oder die Organisationseinheit das selbstverwaltete Verhalten des Elternteils.

Die Vererbung kann eine angewendete Konfiguration nicht außer Kraft setzen. Das heißt, wenn eine Konfigurationsrichtlinie oder eine selbstverwaltete Konfiguration direkt auf ein Konto oder eine Organisationseinheit angewendet wird, verwendet sie diese Konfiguration und erbt nicht die Konfiguration der übergeordneten Einheit.

Root

In AWS Organizations und Security Hub, der übergeordnete Knoten der obersten Ebene in einer Organisation. Wenn der delegierte Administrator eine Konfigurationsrichtlinie auf Root anwendet, wird die Richtlinie allen Konten und OUs in der Organisation zugeordnet, es sei denn, sie verwenden aufgrund von Anwendung oder Vererbung eine andere Richtlinie oder sind als selbstverwaltete Benutzer gekennzeichnet. Wenn der Administrator das Stammverzeichnis als selbstverwaltetes Konto festlegt, werden alle Konten OUs in der Organisation selbst verwaltet, es sei denn, sie verwenden durch Anwendung oder Vererbung eine Konfigurationsrichtlinie. Wenn das Stammkonto selbst verwaltet wird und derzeit keine Konfigurationsrichtlinien existieren, behalten alle neuen Konten in der Organisation ihre aktuellen Einstellungen bei.

Neue Konten, die einer Organisation beitreten, fallen unter das Stammkonto, bis sie einer bestimmten Organisationseinheit zugewiesen werden. Wenn ein neues Konto keiner Organisationseinheit zugewiesen ist, erbt es die Stammkonfiguration, es sei denn, der delegierte Administrator bestimmt es als selbstverwaltetes Konto.