Security Hub-Steuerelemente, die Sie möglicherweise deaktivieren möchten

Wir empfehlen, einige AWS Security Hub Steuerungen zu deaktivieren, um den Suchlärm zu reduzieren und die Kosten zu begrenzen.

Kontrollen, die sich mit globalen Ressourcen befassen

Einige AWS-Services unterstützen globale Ressourcen, was bedeutet, dass Sie von jeder Ressource aus auf die Ressource zugreifen können AWS-Region. Um Kosten zu sparen AWS Config, können Sie die Aufzeichnung globaler Ressourcen in allen Regionen außer einer Region deaktivieren. Nachdem Sie dies getan haben, führt Security Hub jedoch weiterhin Sicherheitsüberprüfungen in allen Regionen durch, in denen eine Kontrolle aktiviert ist, und berechnet Ihnen Gebühren auf der Grundlage der Anzahl der Prüfungen pro Konto pro Region. Um das Suchgeräusch zu reduzieren und die Kosten für Security Hub zu senken, sollten Sie daher auch Kontrollen deaktivieren, die globale Ressourcen in allen Regionen betreffen, mit Ausnahme der Region, in der globale Ressourcen erfasst werden.

Wenn ein Steuerelement globale Ressourcen umfasst, aber nur in einer Region verfügbar ist, können Sie, wenn Sie es in dieser Region deaktivieren, keine Ergebnisse für die zugrunde liegende Ressource abrufen. In diesem Fall empfehlen wir, das Steuerelement aktiviert zu lassen. Wenn Sie die regionsübergreifende Aggregation verwenden, sollte die Region, in der das Steuerelement verfügbar ist, die Aggregationsregion oder eine der verknüpften Regionen sein. Die folgenden Steuerelemente beziehen sich auf globale Ressourcen, sind jedoch nur in einer einzigen Region verfügbar:

• Alle CloudFront Steuerelemente — Nur in USA Ost (Nord-Virginia) verfügbar

• GlobalAccelerator.1 — Nur in den USA West (Oregon) verfügbar

• Route 53.2 — Nur in den USA Ost (Nord-Virginia) verfügbar

• WAF.1, WAF.6, WAF.7 und WAF.8 — Nur in den USA Ost (Nord-Virginia) verfügbar

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren. Wenn Sie die zentrale Konfiguration verwenden, fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion und einer der verknüpften Regionen nicht verfügbar ist. Weitere Informationen zur zentralen Konfiguration finden Sie unterSo funktioniert die zentrale Konfiguration.

Wenn Sie die Aufzeichnung globaler Ressourcen in einer oder mehreren Regionen deaktivieren, generiert das Steuerelement [Config.1] AWS Config sollte aktiviert sein, in diesen Regionen ein fehlgeschlagenes Ergebnis. Dies liegt daran, dass Config.1 die Aufzeichnung globaler Ressourcen erfordert, um erfolgreich zu sein. Sie können die Ergebnisse für dieses Steuerelement manuell oder mithilfe einer Automatisierungsregel unterdrücken.

Bei Kontrollen mit einem periodischen Zeitplan ist es erforderlich, sie in Security Hub zu deaktivieren, um eine Abrechnung zu verhindern. Die Einstellung des AWS Config Parameters includeGlobalResourceTypes auf false hat keinen Einfluss auf regelmäßige Security Hub-Steuerungen.

Im Folgenden finden Sie eine Liste der Security Hub-Steuerelemente, die globale Ressourcen betreffen:

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Laufzeiten haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde AWS Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] AWS WAF Klassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

Kontrollen, die sich mit der CloudTrail Protokollierung befassen

Dieses Steuerelement befasst sich mit der Verwendung von AWS Key Management Service (AWS KMS) zur Verschlüsselung von AWS CloudTrail Trail-Logs. Wenn Sie diese Pfade in einem zentralen Protokollierungskonto protokollieren, müssen Sie diese Steuerung nur in dem Konto und der Region aktivieren, in der die zentrale Protokollierung stattfindet.

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, wird der Aktivierungsstatus eines Steuerelements auf die Heimatregion und die verknüpften Regionen verteilt. Sie können ein Steuerelement nicht in einigen Regionen deaktivieren und in anderen aktivieren. Unterdrücken Sie in diesem Fall die Ergebnisse der folgenden Steuerelemente, um das Suchrauschen zu reduzieren.

• [CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

Steuerungen, die sich mit CloudWatch Alarmen befassen

Wenn Sie Amazon GuardDuty für die Erkennung von Anomalien anstelle von CloudWatch Amazon-Alarmen bevorzugen, können Sie diese Steuerungen deaktivieren, die sich auf CloudWatch Alarme konzentrieren.

• [CloudWatch.1] Für den Benutzer „root“ sollten ein Metrik-Logfilter und ein Alarm vorhanden sein

• [CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

• [CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind

• [CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind

• [CloudWatch1.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der Dauer CloudTrail AWS Config vorhanden sind

• [CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind

• [CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

• [CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

• [CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind

• [CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

• [CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

• [CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

• [CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

• [CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind