Empfehlungen vor der Aktivierung von Security Hub - AWS Security Hub
Integration mit AWS OrganizationsVerwenden der zentralen KonfigurationKonfiguration AWS Config

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Empfehlungen vor der Aktivierung von Security Hub

Die folgenden Empfehlungen können Ihnen den Einstieg in die Verwendung erleichtern AWS Security Hub.

Integration mit AWS Organizations

AWS Organizations ist ein globaler Kontoverwaltungsdienst, der es AWS Administratoren ermöglicht, mehrere Organisationseinheiten (OUs) zu konsolidieren AWS-Konten und zentral zu verwalten. Er bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die auf die Erfüllung von Haushalts-, Sicherheits- und Compliance-Anforderungen zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS -Services, darunter Security Hub GuardDuty, Amazon und Amazon Macie.

Um die Verwaltung von Konten zu automatisieren und zu optimieren, empfehlen wir dringend, Security Hub und AWS Organizations zu integrieren. Sie können eine Integration mit Organizations durchführen, wenn Sie mehrere haben AWS-Konto , die Security Hub verwenden.

Anweisungen zur Aktivierung der Integration finden Sie unterIntegration von Security Hub mit AWS Organizations.

Verwenden der zentralen Konfiguration

Wenn Sie Security Hub and Organizations integrieren, haben Sie die Möglichkeit, eine Funktion namens zentrale Konfiguration zu verwenden, um Security Hub für Ihr Unternehmen einzurichten und zu verwalten. Wir empfehlen dringend, die zentrale Konfiguration zu verwenden, da der Administrator so den Sicherheitsschutz für das Unternehmen anpassen kann. Gegebenenfalls kann der delegierte Administrator einem Mitgliedskonto gestatten, seine eigenen Sicherheitseinstellungen zu konfigurieren.

Die zentrale Konfiguration ermöglicht es dem delegierten Administrator, Security Hub für Konten, Organisationseinheiten und AWS-Regionen zu konfigurieren. Der delegierte Administrator konfiguriert Security Hub, indem er Konfigurationsrichtlinien erstellt. In einer Konfigurationsrichtlinie können Sie die folgenden Einstellungen angeben:

  • Ob Security Hub aktiviert oder deaktiviert ist

  • Welche Sicherheitsstandards sind aktiviert und deaktiviert

  • Welche Sicherheitskontrollen sind aktiviert und deaktiviert

  • Ob Parameter für ausgewählte Steuerelemente angepasst werden sollen

Als delegierter Administrator können Sie eine einzige Konfigurationsrichtlinie für Ihre gesamte Organisation oder verschiedene Konfigurationsrichtlinien für Ihre verschiedenen Konten und Organisationseinheiten erstellen. Beispielsweise können Testkonten und Produktionskonten unterschiedliche Konfigurationsrichtlinien verwenden.

Mitgliedskonten und Organisationseinheiten, die eine Konfigurationsrichtlinie verwenden, werden zentral verwaltet und können nur vom delegierten Administrator konfiguriert werden. Der delegierte Administrator kann bestimmte Mitgliedskonten und Organisationseinheiten als selbstverwaltet kennzeichnen, sodass das Mitglied seine eigenen Einstellungen für jede Region konfigurieren kann.

Weitere Informationen zur zentralen Konfiguration finden Sie unter. So funktioniert die zentrale Konfiguration

Konfiguration AWS Config

AWS Security Hub verwendet dienstbezogene AWS Config Regeln, um Sicherheitsüberprüfungen für die meisten Kontrollen durchzuführen.

Um diese Kontrollen zu unterstützen, AWS Config muss sie für alle Konten — sowohl für das Administratorkonto als auch für die Mitgliedskonten — in allen AWS-Region Konten aktiviert sein, in denen Security Hub aktiviert ist. Darüber hinaus AWS Config muss für jeden aktivierten Standard so konfiguriert werden, dass er Ressourcen aufzeichnet, die für aktivierte Kontrollen erforderlich sind.

Wir empfehlen, die Ressourcenaufzeichnung zu aktivieren, AWS Config bevor Sie die Security Hub Hub-Standards aktivieren. Wenn Security Hub versucht, Sicherheitsüberprüfungen durchzuführen, obwohl die Ressourcenaufzeichnung ausgeschaltet ist, geben die Prüfungen Fehler zurück.

Security Hub verwaltet nicht AWS Config für Sie. Wenn Sie die Aktivierung bereits AWS Config aktiviert haben, können Sie die Einstellungen über die AWS Config Konsole oder APIs konfigurieren.

Wenn Sie einen Standard aktivieren, ihn aber nicht aktiviert haben AWS Config, versucht Security Hub, die AWS Config Regeln gemäß dem folgenden Zeitplan zu erstellen:

  • An dem Tag, an dem Sie den Standard aktivieren

  • Am Tag, nachdem Sie den Standard aktiviert haben

  • 3 Tage, nachdem Sie den Standard aktiviert haben

  • 7 Tage nach der Aktivierung des Standards (und danach kontinuierlich alle 7 Tage)

Wenn Sie die zentrale Konfiguration verwenden, versucht Security Hub auch, die AWS Config Regeln zu erstellen, wenn Sie eine Konfigurationsrichtlinie erneut anwenden, die einen oder mehrere Standards aktiviert.

Aktivieren AWS Config

Wenn Sie es noch nicht aktiviert AWS Config haben, können Sie es auf eine der folgenden Arten aktivieren:

  • Konsole oder AWS CLI — Sie können die Aktivierung manuell AWS Config über die AWS Config Konsole oder durchführen AWS CLI. Weitere Informationen finden Sie unter Erste Schritte mit AWS Config im AWS Config Entwicklerhandbuch.

  • AWS CloudFormation Vorlage — Wenn Sie die Aktivierung AWS Config für eine große Anzahl von Konten durchführen möchten, können Sie die Aktivierung AWS Config mit der CloudFormation Vorlage Enable durchführen AWS Config. Informationen zum Zugriff auf diese Vorlage finden Sie in den AWS CloudFormation StackSets Beispielvorlagen im AWS CloudFormation Benutzerhandbuch.

  • Github-Skript — Security Hub bietet ein GitHub Skript, das Security Hub für mehrere Konten in verschiedenen Regionen aktiviert. Dieses Skript ist nützlich, wenn Sie keine Integration mit Organizations haben oder wenn Sie Konten haben, die nicht Teil Ihrer Organisation sind. Wenn Sie dieses Skript verwenden, um Security Hub zu aktivieren, wird es auch automatisch AWS Config für diese Konten aktiviert.

Weitere Informationen zur Aktivierung AWS Config , um Sie bei der Durchführung von Security Hub-Sicherheitsprüfungen zu unterstützen, finden Sie unter Optimieren AWS Config für, AWS Security Hub um Ihren Cloud-Sicherheitsstatus effektiv zu verwalten.

Aktivieren Sie die Ressourcenaufzeichnung in AWS Config

Wenn Sie die Ressourcenaufzeichnung AWS Config mit den Standardeinstellungen aktivieren, werden alle unterstützten Typen von regionalen Ressourcen aufgezeichnet, die in der AWS Config Umgebung erkannt werden, AWS-Region in der sie ausgeführt wird. Sie können auch so konfigurieren AWS Config , dass unterstützte Typen globaler Ressourcen aufgezeichnet werden. Sie müssen globale Ressourcen nur in einer einzigen Region aufzeichnen (wir empfehlen, dass dies Ihre Heimatregion ist, wenn Sie die zentrale Konfiguration verwenden).

Wenn Sie CloudFormation StackSets die Option aktivieren verwenden AWS Config, empfehlen wir, zwei verschiedene auszuführen StackSets. Führen Sie einen aus, StackSet um alle Ressourcen, einschließlich globaler Ressourcen, in einer einzigen Region aufzuzeichnen. Führen Sie einen zweiten StackSet Vorgang aus, um alle Ressourcen außer globalen Ressourcen in anderen Regionen aufzuzeichnen.

Sie können auch Quick Setup, eine Funktion von AWS Systems Manager, verwenden, um die Ressourcenaufzeichnung in AWS Config Ihren Konten und Regionen schnell zu konfigurieren. Während des Quick Setup-Vorgangs können Sie auswählen, in welcher Region Sie globale Ressourcen aufzeichnen möchten. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter AWS Config Configuration Recorder.

Die Sicherheitskontrolle Config.1 generiert fehlgeschlagene Ergebnisse für Regionen, bei denen es sich nicht um verknüpfte Regionen in einem Aggregator handelt (die Heimatregion und Regionen, die insgesamt nicht in einem Ergebnisaggregator sind), wenn diese Region keine globalen Ressourcen AWS Identity and Access Management (IAM) aufzeichnet und Kontrollen aktiviert hat, für die globale IAM-Ressourcen aufgezeichnet werden müssen. In verknüpften Regionen überprüft Config.1 nicht, ob globale IAM-Ressourcen aufgezeichnet wurden. Eine Liste der Ressourcen, die jedes Steuerelement benötigt, finden Sie unter. AWS Config Ressourcen, die zur Generierung der Kontrollergebnisse erforderlich sind

Wenn Sie das Skript für mehrere Konten verwenden, um Security Hub zu aktivieren, aktiviert es automatisch die Ressourcenaufzeichnung für alle Ressourcen, einschließlich globaler Ressourcen, in allen Regionen. Anschließend können Sie die Konfiguration so aktualisieren, dass globale Ressourcen nur in einer einzigen Region aufgezeichnet werden. Weitere Informationen finden Sie im AWS Config Entwicklerhandbuch unter Auswahl der AWS Config Ressourceneinträge.

Damit Security Hub die Ergebnisse von Kontrollen, die auf AWS Config Regeln basieren, korrekt melden kann, müssen Sie die Aufzeichnung für die entsprechenden Ressourcen aktivieren. Eine Liste der Kontrollen und der zugehörigen AWS Config Ressourcen finden Sie unterAWS Config Ressourcen, die zur Generierung der Kontrollergebnisse erforderlich sind.AWS Config ermöglicht es Ihnen, zwischen kontinuierlicher Aufzeichnung und täglicher Aufzeichnung von Änderungen des Ressourcenstatus zu wählen. Wenn Sie die tägliche Aufzeichnung wählen AWS Config , werden Ressourcenkonfigurationsdaten am Ende jedes 24-Stunden-Zeitraums bereitgestellt, wenn sich der Ressourcenstatus ändert. Wenn es keine Änderungen gibt, werden keine Daten geliefert. Dies kann die Generierung von Security Hub Hub-Ergebnissen für durch Änderungen ausgelöste Kontrollen verzögern, bis ein Zeitraum von 24 Stunden abgeschlossen ist.

Anmerkung

Um nach Sicherheitsprüfungen neue Ergebnisse zu generieren und veraltete Ergebnisse zu vermeiden, benötigen Sie ausreichende Berechtigungen für die IAM-Rolle, die dem Konfigurationsrekorder zugeordnet ist, um die zugrunde liegenden Ressourcen auszuwerten.

Kostenüberlegungen

Einzelheiten zu den Kosten im Zusammenhang mit der Erfassung von Ressourcen finden Sie unter AWS Security Hub Preise und AWS Config Preisgestaltung.

Security Hub kann sich durch die Aktualisierung des AWS Config Konfigurationselements auf Ihre Kosten für den AWS::Config::ResourceCompliance Konfigurationsrekorder auswirken. Updates können jedes Mal erfolgen, wenn ein mit einer AWS Config Regel verknüpftes Security Hub-Steuerelement den Konformitätsstatus ändert, aktiviert oder deaktiviert wird oder Parameter-Updates enthält. Wenn Sie den AWS Config Konfigurationsrekorder nur für Security Hub verwenden und dieses Konfigurationselement nicht für andere Zwecke verwenden, empfehlen wir, die Aufzeichnung dafür in der AWS Config Konsole oder zu deaktivieren AWS CLI. Dies kann Ihre AWS Config Kosten senken. Sie müssen keine Aufzeichnungen machen, damit AWS::Config::ResourceCompliance die Sicherheitschecks in Security Hub funktionieren.