Aktivierung und Konfiguration AWS Config für Security Hub - AWS Security Hub
Überlegungen vor der Aktivierung und Konfiguration AWS ConfigRessourcen aufzeichnen in AWS ConfigMöglichkeiten zur Aktivierung und Konfiguration AWS ConfigConfig.1-SteuerungGenerierung der serviceverknüpften RegelnKostenüberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung und Konfiguration AWS Config für Security Hub

AWS Security Hub verwendet AWS Config Regeln, um Sicherheitsprüfungen durchzuführen und Ergebnisse für die meisten Kontrollen zu generieren. AWS Config bietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto. Es verwendet Regeln, um eine Basiskonfiguration für Ihre Ressourcen festzulegen, und einen Konfigurationsrekorder, um festzustellen, ob eine bestimmte Ressource gegen die Bedingungen einer Regel verstößt. Einige Regeln, die als AWS Config verwaltete Regeln bezeichnet werden, sind vordefiniert und wurden von AWS Config entwickelt. Andere Regeln sind AWS Config benutzerdefinierte Regeln, die Security Hub entwickelt.

AWS Config Regeln, die Security Hub für Kontrollen verwendet, werden als dienstbezogene Regeln bezeichnet. Serviceverknüpfte Regeln ermöglichen es AWS-Services beispielsweise Security Hub, AWS Config Regeln in Ihrem Konto zu erstellen.

Um Kontrollergebnisse in Security Hub zu erhalten, müssen Sie die Aktivierung AWS Config in Ihrem Konto aktivieren und die Aufzeichnung für Ressourcen aktivieren, die Ihre aktivierten Kontrollen auswerten. Auf dieser Seite wird erklärt, wie Sie Security Hub aktivieren AWS Config und die Ressourcenaufzeichnung einschalten.

Überlegungen vor der Aktivierung und Konfiguration AWS Config

Um Kontrollergebnisse in Security Hub zu erhalten, muss Ihr Konto in allen AWS Config Bereichen aktiviert sein, in AWS-Region denen Security Hub aktiviert ist. Wenn Sie Security Hub für eine Umgebung mit mehreren Konten verwenden, AWS Config muss es in jeder Region für das Administratorkonto und alle Mitgliedskonten aktiviert sein.

Wir empfehlen dringend, die Ressourcenaufzeichnung zu aktivieren, AWS Config bevor Sie Security Hub Hub-Standards und -Steuerungen aktivieren. Auf diese Weise können Sie sicherstellen, dass Ihre Kontrollergebnisse korrekt sind.

Um die Ressourcenaufzeichnung in zu aktivieren AWS Config, müssen Sie über ausreichende Berechtigungen zum Aufzeichnen von Ressourcen in der AWS Identity and Access Management (IAM) -Rolle verfügen, die dem Konfigurationsrekorder zugeordnet ist. Stellen Sie außerdem sicher, dass keine IAM-Richtlinie oder Richtlinie verwaltet wurde AWS Organizations , die AWS Config verhindert, dass Sie Ihre Ressourcen aufzeichnen dürfen. Security Hub Hub-Kontrollprüfungen bewerten die Konfiguration einer Ressource direkt und berücksichtigen keine AWS Organizations Richtlinien. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter Arbeiten mit dem Konfigurationsrekorder im AWS Config Entwicklerhandbuch.

Wenn Sie einen Standard in Security Hub aktivieren, ihn aber nicht aktiviert haben AWS Config, versucht Security Hub, AWS Config Regeln gemäß dem folgenden Zeitplan zu erstellen:

  • An dem Tag, an dem Sie den Standard aktivieren.

  • Am Tag nach der Aktivierung des Standards.

  • 3 Tage nach der Aktivierung des Standards.

  • 7 Tage nach der Aktivierung des Standards und danach kontinuierlich alle 7 Tage.

Wenn Sie die zentrale Konfiguration verwenden, versucht Security Hub auch, dienstbezogene AWS Config Regeln zu erstellen, wenn Sie Konten, Organisationseinheiten (OUs) oder dem Stamm eine Konfigurationsrichtlinie zuordnen, die einen oder mehrere Standards aktiviert.

Ressourcen aufzeichnen in AWS Config

Bei der Aktivierung müssen Sie angeben AWS Config, welche AWS Ressourcen der AWS Config Konfigurationsrekorder aufzeichnen soll. Durch die serviceverknüpften Regeln ermöglicht der Konfigurationsrekorder Security Hub, Änderungen an Ihren Ressourcenkonfigurationen zu erkennen.

Damit Security Hub genaue Kontrollergebnisse generieren kann, müssen Sie die Aufzeichnung AWS Config für die Ressourcen aktivieren, die Ihren aktivierten Kontrollen entsprechen. Es handelt sich in erster Linie um aktivierte Steuerelemente mit einem durch Änderung ausgelösten Zeitplantyp, für die Ressourcen aufgezeichnet werden müssen. Für einige Steuerelemente mit einem periodischen Zeitplan ist auch die Erfassung von Ressourcen erforderlich. Eine Liste dieser Steuerelemente und der entsprechenden Ressourcen finden Sie unterErforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle.

Warnung

Wenn Sie die AWS Config Aufzeichnung für Security Hub-Steuerelemente nicht korrekt konfigurieren, kann dies zu ungenauen Kontrollergebnissen führen, insbesondere in den folgenden Fällen:

  • Sie haben die Ressource für ein bestimmtes Steuerelement nie aufgezeichnet, oder Sie haben die Aufzeichnung einer Ressource deaktiviert, bevor Sie diesen Ressourcentyp erstellt haben. In diesen Fällen erhalten Sie einen WARNING Befund für das fragliche Steuerelement, obwohl Sie möglicherweise Ressourcen im Bereich des Steuerelements erstellt haben, nachdem Sie die Aufzeichnung deaktiviert haben. Bei diesem WARNING Ergebnis handelt es sich um ein Standardergebnis, bei dem der Konfigurationsstatus der Ressource nicht wirklich bewertet wird.

  • Sie deaktivieren die Aufzeichnung für eine Ressource, die von einem bestimmten Steuerelement ausgewertet wird. In diesem Fall behält Security Hub die Kontrollergebnisse bei, die generiert wurden, bevor Sie die Aufzeichnung deaktiviert haben, obwohl das Steuerelement keine neuen oder aktualisierten Ressourcen auswertet. Security Hub ändert auch den Compliance-Status der Ergebnisse aufWARNING. Diese gespeicherten Ergebnisse geben möglicherweise nicht genau den aktuellen Konfigurationsstatus einer Ressource wieder.

AWS Config Zeichnet standardmäßig alle unterstützten regionalen Ressourcen auf, die es in der Umgebung entdeckt, AWS-Region in der es ausgeführt wird. Um alle Ergebnisse der Security Hub-Steuerung zu erhalten, müssen Sie auch AWS Config die Aufzeichnung globaler Ressourcen konfigurieren. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie die zentrale Konfiguration oder die regionsübergreifende Aggregation verwenden, sollte diese Region Ihre Heimatregion sein.

In AWS Config können Sie zwischen kontinuierlicher Aufzeichnung und täglicher Aufzeichnung von Änderungen des Ressourcenstatus wählen. Wenn Sie sich für die tägliche Aufzeichnung AWS Config entscheiden, werden die Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub Hub-Ergebnissen für durch Änderungen ausgelöste Kontrollen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist.

Weitere Informationen zur AWS Config Aufzeichnung finden Sie im Entwicklerhandbuch unter AWS Ressourcen aufzeichnen.AWS Config

Möglichkeiten zur Aktivierung und Konfiguration AWS Config

Sie können die Ressourcenaufzeichnung auf eine der folgenden Arten aktivieren AWS Config und aktivieren:

  • AWS Config Konsole — Sie können AWS Config die Aktivierung für ein Konto über die AWS Config Konsole vornehmen. Anweisungen finden Sie im AWS Config Entwicklerhandbuch unter Einrichtung AWS Config mit der Konsole.

  • AWS CLI oder SDKs — Sie können AWS Config die Aktivierung für ein Konto mithilfe von AWS Command Line Interface (AWS CLI) vornehmen. Eine Anleitung dazu finden Sie unter Einrichtung AWS Config mit dem AWS CLI im AWS Config Entwicklerhandbuch. AWS Software Development Kits (SDKs) sind auch für viele Programmiersprachen verfügbar.

  • CloudFormation Vorlage — Zur Aktivierung AWS Config für viele Konten empfehlen wir, die AWS CloudFormation Vorlage mit dem Namen Enable zu verwenden AWS Config. Informationen zum Zugriff auf diese Vorlage finden Sie in den AWS CloudFormation StackSet Beispielvorlagen im AWS CloudFormation Benutzerhandbuch.

    Standardmäßig schließt diese Vorlage Aufzeichnungen für globale IAM-Ressourcen aus. Stellen Sie sicher, dass Sie die Aufzeichnung für globale IAM-Ressourcen nur in einer Version aktivieren, um Aufzeichnungskosten AWS-Region zu sparen. Wenn Sie die regionsübergreifende Aggregation aktiviert haben, sollte dies Ihre Security Hub Hub-Heimatregion sein. Andernfalls kann es sich um jede Region handeln, in der Security Hub verfügbar ist und die Aufzeichnung globaler IAM-Ressourcen unterstützt. Wir empfehlen, eine StackSet zu starten, um alle Ressourcen, einschließlich globaler IAM-Ressourcen, in der Heimatregion oder einer anderen ausgewählten Region aufzuzeichnen. Führen Sie dann eine Sekunde aus, StackSet um alle Ressourcen außer den globalen IAM-Ressourcen in anderen Regionen aufzuzeichnen.

  • GitHub script — Security Hub bietet ein GitHubSkript, das Security Hub aktiviert, und zwar AWS Config für mehrere Konten in verschiedenen Regionen. Dieses Skript ist nützlich AWS Organizations, wenn Sie es nicht integriert haben oder wenn Sie einige Mitgliedskonten haben, die nicht Teil einer Organisation sind.

Weitere Informationen finden Sie im folgenden Blogbeitrag im AWS Sicherheits-Blog: Optimieren Sie AWS Config für AWS Security Hub , um Ihren Cloud-Sicherheitsstatus effektiv zu verwalten.

Config.1-Steuerung

In Security Hub generiert das Config.1-Steuerelement FAILED Ergebnisse in Ihrem Konto, wenn AWS Config es deaktiviert ist. Es generiert auch FAILED Ergebnisse in Ihrem Konto, wenn es aktiviert AWS Config ist, aber die Ressourcenaufzeichnung nicht aktiviert ist.

Wenn aktiviert AWS Config ist und die Ressourcenaufzeichnung aktiviert ist, aber die Ressourcenaufzeichnung für einen Ressourcentyp, den ein aktiviertes Steuerelement überprüft, nicht aktiviert ist, generiert Security Hub einen FAILED Befund für das Config.1-Steuerelement. Zusätzlich zu diesem FAILED Ergebnis generiert Security Hub WARNING Ergebnisse für das aktivierte Steuerelement und die Arten von Ressourcen, die das Steuerelement überprüft. Wenn Sie beispielsweise das KMS.5-Steuerelement aktivieren und die Ressourcenaufzeichnung nicht aktiviert ist AWS KMS keys, generiert Security Hub einen FAILED Befund für das Config.1-Steuerelement. Security Hub generiert auch WARNING Ergebnisse für das KMS.5-Steuerelement und Ihre KMS-Schlüssel.

Um ein PASSED Ergebnis für das Config.1-Steuerelement zu erhalten, aktivieren Sie die Ressourcenaufzeichnung für alle Ressourcentypen, die den aktivierten Steuerelementen entsprechen. Deaktivieren Sie außerdem Steuerelemente, die für Ihre Organisation nicht erforderlich sind. Auf diese Weise können Sie sicherstellen, dass Ihre Sicherheitskontrollen keine Konfigurationslücken aufweisen. Außerdem können Sie so sicherstellen, dass Sie genaue Informationen zu falsch konfigurierten Ressourcen erhalten.

Wenn Sie der delegierte Security Hub-Administrator für eine Organisation sind, muss die AWS Config Aufzeichnung für Ihr Konto und Ihre Mitgliedskonten korrekt konfiguriert sein. Wenn Sie die regionsübergreifende Aggregation verwenden, muss die AWS Config Aufzeichnung in der Heimatregion und allen verknüpften Regionen korrekt konfiguriert sein. Globale Ressourcen müssen nicht in verknüpften Regionen aufgezeichnet werden.

Generierung der serviceverknüpften Regeln

Für jedes Steuerelement, das eine serviceverknüpfte AWS Config Regel verwendet, erstellt Security Hub Instanzen der erforderlichen Regel in Ihrer AWS Umgebung.

Diese dienstbezogenen Regeln sind spezifisch für Security Hub. Security Hub erstellt diese serviceverknüpften Regeln auch dann, wenn bereits andere Instanzen derselben Regeln existieren. Bei der serviceverknüpften Regel wird securityhub vor dem ursprünglichen Regelnamen und nach dem Regelnamen eine eindeutige Kennung hinzugefügt. Für die AWS Config verwaltete Regel vpc-flow-logs-enabled könnte der Name der serviceverknüpften Regel beispielsweise lauten. securityhub-vpc-flow-logs-enabled-12345

Es gibt Kontingente für die Anzahl der AWS Config verwalteten Regeln, die zur Bewertung von Kontrollen verwendet werden können. Benutzerdefinierte AWS Config Regeln, die Security Hub erstellt, werden nicht auf diese Kontingente angerechnet. Sie können einen Sicherheitsstandard aktivieren, auch wenn Sie das AWS Config Kontingent für verwaltete Regeln in Ihrem Konto bereits erreicht haben. Weitere Informationen zu Kontingenten für AWS Config Regeln finden Sie unter Dienstbeschränkungen für AWS Config im AWS Config Entwicklerhandbuch.

Kostenüberlegungen

Security Hub kann sich auf Ihre Kosten für den AWS Config Konfigurationsrekorder auswirken, indem das AWS::Config::ResourceCompliance Konfigurationselement aktualisiert wird. Updates können jedes Mal erfolgen, wenn ein mit einer AWS Config Regel verknüpftes Security Hub-Steuerelement den Konformitätsstatus ändert, aktiviert oder deaktiviert wird oder Parameter-Updates enthält. Wenn Sie den AWS Config Konfigurationsrekorder nur für Security Hub verwenden und dieses Konfigurationselement nicht für andere Zwecke verwenden, empfehlen wir, die Aufzeichnung dafür in zu deaktivieren AWS Config. Dies kann Ihre AWS Config Kosten senken. Sie müssen keine Aufzeichnungen machen, AWS::Config::ResourceCompliance damit Sicherheitschecks in Security Hub funktionieren.

Informationen zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Security Hub Preise und AWS Config Preise.