Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für AWS Config
Diese Security Hub-Steuerelemente bewerten den AWS Config Service und die Ressourcen.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden
Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST.800-53.R5 CM-3, NIST.800-53.R5 CM-6 (1), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5 AWS
Kategorie: Identifizieren > Bestand
Schweregrad: Kritisch
Art der Ressource: AWS::::Account
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
|
|
Das Steuerelement bewertet nicht, ob die serviceverknüpfte Rolle AWS Config verwendet wird, wenn der Parameter auf |
Boolesch |
|
|
Dieses Steuerelement prüft, ob AWS Config es in Ihrem Konto aktuell aktiviert ist AWS-Region, zeichnet alle Ressourcen auf, die den in der aktuellen Region aktivierten Kontrollen entsprechen, und verwendet die dienstverknüpfte Rolle AWS Config. Der Name der dienstbezogenen Rolle lautet. AWSServiceRoleForConfig Wenn Sie die dienstgebundene Rolle nicht verwenden und den includeConfigServiceLinkedRoleCheck Parameter nicht auf setzen, schlägt die Steuerung fehlfalse, da andere Rollen möglicherweise nicht über die erforderlichen Berechtigungen verfügen, AWS Config um Ihre Ressourcen korrekt aufzuzeichnen.
Der AWS Config Dienst führt die Konfigurationsverwaltung der unterstützten AWS Ressourcen in Ihrem Konto durch und übermittelt Ihnen Protokolldateien. Zu den aufgezeichneten Informationen gehören das Konfigurationselement (AWS Ressource), Beziehungen zwischen Konfigurationselementen und alle Konfigurationsänderungen innerhalb von Ressourcen. Globale Ressourcen sind Ressourcen, die in jeder Region verfügbar sind.
Die Kontrolle wird wie folgt bewertet:
Wenn die aktuelle Region als Ihre Aggregationsregion festgelegt ist, liefert das Steuerelement nur
PASSEDErgebnisse, wenn globale AWS Identity and Access Management (IAM-) Ressourcen aufgezeichnet werden (sofern Sie Steuerelemente aktiviert haben, für die diese erforderlich sind).Wenn die aktuelle Region als verknüpfte Region festgelegt ist, bewertet das Steuerelement nicht, ob globale IAM-Ressourcen aufgezeichnet wurden.
Wenn die aktuelle Region nicht in Ihrem Aggregator enthalten ist oder wenn in Ihrem Konto keine regionsübergreifende Aggregation eingerichtet ist, liefert das Steuerelement nur dann
PASSEDErgebnisse, wenn globale IAM-Ressourcen aufgezeichnet werden (sofern Sie Steuerelemente aktiviert haben, die diese erfordern).
Die Kontrollergebnisse werden nicht davon beeinflusst, ob Sie sich für die tägliche oder kontinuierliche Aufzeichnung von Änderungen des Ressourcenstatus in entscheiden. AWS Config Die Ergebnisse dieser Steuerung können sich jedoch ändern, wenn neue Steuerelemente veröffentlicht werden, wenn Sie die automatische Aktivierung neuer Steuerelemente konfiguriert haben oder über eine zentrale Konfigurationsrichtlinie verfügen, die neue Kontrollen automatisch aktiviert. Wenn Sie in diesen Fällen nicht alle Ressourcen aufzeichnen, müssen Sie die Aufzeichnung für Ressourcen konfigurieren, die neuen Steuerelementen zugeordnet sind, um ein PASSED Ergebnis zu erhalten.
Security Hub-Sicherheitsprüfungen funktionieren nur dann wie vorgesehen, wenn Sie sie AWS Config in allen Regionen aktivieren und die Ressourcenaufzeichnung für Kontrollen konfigurieren, die dies erfordern.
Anmerkung
Config.1 setzt voraus, dass dies in allen Regionen aktiviert AWS Config ist, in denen Sie Security Hub verwenden.
Da es sich bei Security Hub um einen regionalen Dienst handelt, wird bei der für dieses Steuerelement durchgeführten Prüfung nur die aktuelle Region für das Konto ausgewertet.
Um Sicherheitsüberprüfungen anhand globaler IAM-Ressourcen in einer Region zuzulassen, müssen Sie globale IAM-Ressourcen in dieser Region aufzeichnen. Regionen, in denen keine globalen IAM-Ressourcen erfasst sind, erhalten eine PASSED Standardbewertung für Kontrollen, die globale IAM-Ressourcen überprüfen. Da globale IAM-Ressourcen überall identisch sind, empfehlen wir AWS-Regionen, globale IAM-Ressourcen nur in der Heimatregion aufzuzeichnen (sofern die regionsübergreifende Aggregation in Ihrem Konto aktiviert ist). IAM-Ressourcen werden nur in der Region aufgezeichnet, in der die globale Ressourcenaufzeichnung aktiviert ist.
Bei den global aufgezeichneten IAM-Ressourcentypen, die AWS Config unterstützt werden, handelt es sich um IAM-Benutzer, -Gruppen, -Rollen und vom Kunden verwaltete Richtlinien. Sie können erwägen, Security Hub-Steuerelemente, die diese Ressourcentypen überprüfen, in Regionen zu deaktivieren, in denen die globale Ressourcenaufzeichnung deaktiviert ist. Weitere Informationen finden Sie unter Vorgeschlagene Steuerelemente zur Deaktivierung in Security Hub.
Abhilfe
Erfassen Sie in der Heimatregion und in Regionen, die nicht Teil eines Aggregators sind, alle Ressourcen, die für Kontrollen erforderlich sind, die in der aktuellen Region aktiviert sind, einschließlich globaler IAM-Ressourcen, falls Sie Steuerungen aktiviert haben, die globale IAM-Ressourcen erfordern.
In verknüpften Regionen können Sie einen beliebigen AWS Config Aufnahmemodus verwenden, sofern Sie alle Ressourcen aufzeichnen, die den Steuerelementen entsprechen, die in der aktuellen Region aktiviert sind. Wenn Sie in verknüpften Regionen Steuerelemente aktiviert haben, die die Aufzeichnung globaler IAM-Ressourcen erfordern, erhalten Sie kein FAILED Ergebnis (Ihre Aufzeichnung anderer Ressourcen ist ausreichend).
Anhand des StatusReasons Felds im Compliance Objekt Ihrer Suche können Sie feststellen, warum Sie für dieses Steuerelement einen Fehler gefunden haben. Weitere Informationen finden Sie unter Einzelheiten zur Einhaltung der Kontrollbestimmungen.
Eine Liste der Ressourcen, die für jedes Steuerelement aufgezeichnet werden müssen, finden Sie unterErforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle. Allgemeine Informationen zur Aktivierung AWS Config und Konfiguration der Ressourcenaufzeichnung finden Sie unterAktivierung und Konfiguration AWS Config für Security Hub.
