Comprendre la configuration centrale dans Security Hub - AWS Security Hub
Avantages de l'utilisation de la configuration centraliséeQuand utiliser la configuration centralisée ?Termes et concepts de configuration centrale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre la configuration centrale dans Security Hub

La configuration centralisée est une fonctionnalité du Security Hub qui vous permet de configurer et de gérer Security Hub sur plusieurs Comptes AWS and Régions AWS. Pour utiliser la configuration centralisée, vous devez d'abord intégrer Security Hub et AWS Organizations. Vous pouvez intégrer les services en créant une organisation et en désignant un compte administrateur Security Hub délégué pour l'organisation.

À partir du compte administrateur délégué du Security Hub, vous pouvez définir la manière dont le service Security Hub, les normes de sécurité et les contrôles de sécurité sont configurés dans les comptes et les unités organisationnelles (OUs) de votre organisation dans toutes les régions. Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée région d'origine.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut choisir les comptes et OUs les configurer. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant autogéré, le membre peut configurer ses propres paramètres séparément dans chaque région. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant géré de manière centralisée, seul l'administrateur délégué peut configurer le compte de membre ou l'unité d'organisation dans toutes les régions. Vous pouvez désigner tous les OUs comptes de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux.

Pour configurer des comptes gérés de manière centralisée, l'administrateur délégué utilise les politiques de configuration du Security Hub. Les politiques de configuration permettent à l'administrateur délégué de spécifier si Security Hub est activé ou désactivé, et quelles normes et contrôles sont activés et désactivés. Ils peuvent également être utilisés pour personnaliser les paramètres de certaines commandes.

Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. L'administrateur délégué spécifie la région d'origine de l'organisation et les régions associées avant de commencer à utiliser la configuration centrale. La spécification de régions liées est facultative. L'administrateur délégué peut créer une politique de configuration unique pour l'ensemble de l'organisation, ou créer plusieurs politiques de configuration pour configurer des paramètres variables pour différents comptes etOUs.

Astuce

Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub séparément pour chaque compte et chaque région. C'est ce qu'on appelle la configuration locale. Dans le cadre de la configuration locale, l'administrateur délégué peut activer automatiquement Security Hub et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

Cette section fournit une vue d'ensemble de la configuration centrale.

Avantages de l'utilisation de la configuration centralisée

Les avantages de la configuration centralisée sont les suivants :

Simplifier la configuration du service et des fonctionnalités du Security Hub

Lorsque vous utilisez la configuration centralisée, Security Hub vous guide tout au long du processus de configuration des meilleures pratiques de sécurité pour votre entreprise. Il déploie également les politiques de configuration qui en résultent sur des comptes spécifiés et OUs automatiquement. Si vous disposez de paramètres Security Hub existants, tels que l'activation automatique de nouveaux contrôles de sécurité, vous pouvez les utiliser comme point de départ pour vos politiques de configuration. En outre, la page de configuration de la console Security Hub affiche un résumé en temps réel de vos politiques de configuration et des comptes qui OUs utilisent chaque politique.

Configuration sur plusieurs comptes et régions

Vous pouvez utiliser la configuration centralisée pour configurer Security Hub sur plusieurs comptes et régions. Cela permet de garantir que chaque partie de votre organisation conserve une configuration cohérente et une couverture de sécurité adéquate.

Adaptez différentes configurations à différents comptes et OUs

Grâce à la configuration centralisée, vous pouvez choisir de configurer les comptes de votre organisation de différentes OUs manières. Par exemple, vos comptes de test et de production peuvent nécessiter des configurations différentes. Vous pouvez également créer une politique de configuration qui couvre les nouveaux comptes lorsqu'ils rejoignent l'organisation.

Empêcher la dérive de configuration

Une dérive de configuration se produit lorsqu'un utilisateur apporte une modification à un service ou à une fonctionnalité qui entre en conflit avec les sélections de l'administrateur délégué. La configuration centrale empêche cette dérive. Lorsque vous désignez un compte ou une unité d'organisation comme étant géré de manière centralisée, il n'est configurable que par l'administrateur délégué de l'organisation. Si vous préférez qu'un compte ou une unité d'organisation spécifique configure ses propres paramètres, vous pouvez le désigner comme autogéré.

Quand utiliser la configuration centralisée ?

La configuration centralisée est particulièrement avantageuse pour AWS environnements qui incluent plusieurs comptes Security Hub. Il est conçu pour vous aider à gérer de manière centralisée Security Hub pour plusieurs comptes.

Vous pouvez utiliser la configuration centralisée pour configurer le service Security Hub, les normes de sécurité et les contrôles de sécurité. Vous pouvez également l'utiliser pour personnaliser les paramètres de certaines commandes. Pour plus d'informations sur les normes de sécurité, consultezComprendre les normes de sécurité dans Security Hub. Pour plus d'informations sur les contrôles de sécurité, consultezComprendre les contrôles de sécurité dans Security Hub.

Termes et concepts de configuration centrale

La compréhension des termes et concepts clés suivants peut vous aider à utiliser la configuration centrale de Security Hub.

Configuration centrale

Une fonctionnalité Security Hub qui permet au compte administrateur délégué d'une organisation de configurer le service Security Hub, les normes de sécurité et les contrôles de sécurité sur plusieurs comptes et régions. Pour configurer ces paramètres, l'administrateur délégué crée et gère les politiques de configuration du Security Hub pour les comptes gérés de manière centralisée au sein de son organisation. Les comptes autogérés peuvent configurer leurs propres paramètres séparément dans chaque région. Pour utiliser la configuration centralisée, vous devez intégrer Security Hub et AWS Organizations.

Région d'origine

Le Région AWS à partir duquel l'administrateur délégué configure Security Hub de manière centralisée, en créant et en gérant des politiques de configuration. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées.

La région d'origine sert également de région d'agrégation du Security Hub, recevant les résultats, les informations et autres données des régions liées.

Régions qui AWS introduites le 20 mars 2019 ou après cette date sont connues sous le nom de régions optionnelles. Une région optionnelle ne peut pas être la région d'origine, mais elle peut être une région liée. Pour obtenir la liste des régions admises, consultez la section Considérations à prendre en compte avant d'activer et de désactiver les régions dans le AWS Guide de référence sur la gestion des comptes.

Région liée

Un Région AWS qui est configurable depuis la région d'origine. Les politiques de configuration sont créées par l'administrateur délégué dans la région d'origine. Les politiques entrent en vigueur dans la région d'origine et dans toutes les régions associées. La spécification de régions liées est facultative.

Une région liée envoie également des résultats, des informations et d'autres données à la région d'origine.

Régions qui AWS introduites le 20 mars 2019 ou après cette date sont connues sous le nom de régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration puisse lui être appliquée. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour plus d'informations, voir Spécifier lequel Régions AWS votre compte peut être utilisé dans AWS Guide de référence sur la gestion des comptes.

Cible

Un Compte AWS, l'unité organisationnelle (UO) ou la racine de l'organisation.

Politique de configuration du Security Hub

Ensemble de paramètres Security Hub que l'administrateur délégué peut configurer pour des cibles gérées de manière centralisée. Cela consiste notamment à :

  • S'il faut activer ou désactiver Security Hub.

  • S'il faut activer une ou plusieurs normes de sécurité.

  • Quels contrôles de sécurité activer dans le cadre des normes activées. L'administrateur délégué peut le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub désactive tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés). L'administrateur délégué peut également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub active tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés).

  • Vous pouvez éventuellement personnaliser les paramètres pour sélectionner les contrôles activés selon les normes activées.

Une politique de configuration prend effet dans la région d'origine et dans toutes les régions associées une fois qu'elle est associée à au moins un compte, une unité organisationnelle (UO) ou la racine.

Sur la console Security Hub, l'administrateur délégué peut choisir la politique de configuration recommandée par Security Hub ou créer des politiques de configuration personnalisées. Avec le Security Hub API et AWS CLI, l'administrateur délégué peut uniquement créer des politiques de configuration personnalisées. L'administrateur délégué peut créer un maximum de 20 politiques de configuration personnalisées.

Dans la politique de configuration recommandée, Security Hub, AWS Norme relative aux meilleures pratiques de sécurité fondamentales (FSBP), et tous les FSBP contrôles existants et nouveaux sont activés. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique de configuration recommandée s'applique à l'ensemble de l'organisation.

Pour appliquer différents paramètres à l'organisation ou appliquer différentes politiques de configuration à différents comptes et OUs créer une politique de configuration personnalisée.

Configuration locale

Type de configuration par défaut pour une organisation, après avoir intégré Security Hub et AWS Organizations. Avec la configuration locale, l'administrateur délégué peut choisir d'activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes d'organisation de la région actuelle. Si l'administrateur délégué active automatiquement les normes par défaut, tous les contrôles inclus dans ces normes sont également automatiquement activés avec les paramètres par défaut pour les nouveaux comptes d'organisation. Ces paramètres ne s'appliquent pas aux comptes existants. Une modification de la configuration est donc possible une fois qu'un compte a rejoint l'organisation. La désactivation de contrôles spécifiques faisant partie des normes par défaut et la configuration de normes et de contrôles supplémentaires doivent être effectuées séparément dans chaque compte et région.

La configuration locale ne prend pas en charge l'utilisation de politiques de configuration. Pour utiliser les politiques de configuration, vous devez passer à la configuration centralisée.

Gestion manuelle des comptes

Si vous n'intégrez pas Security Hub à AWS Organizations ou si vous avez un compte autonome, vous devez définir les paramètres de chaque compte séparément dans chaque région. La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration.

Configuration centrale APIs

Opérations du Security Hub que seul l'administrateur délégué au Security Hub peut utiliser dans la région d'origine pour gérer les politiques de configuration des comptes gérés de manière centralisée. Les opérations incluent :

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

Spécifique au compte APIs

Opérations du Security Hub qui peuvent être utilisées pour activer ou désactiver le Security Hub, les normes et les contrôles sur une account-by-account base donnée. Ces opérations sont utilisées dans chaque région.

Les comptes autogérés peuvent utiliser des opérations spécifiques au compte pour configurer leurs propres paramètres. Les comptes gérés de manière centralisée ne peuvent pas utiliser les opérations spécifiques suivantes dans la région d'origine et dans les régions associées. Dans ces régions, seul l'administrateur délégué peut configurer des comptes gérés de manière centralisée par le biais d'opérations de configuration et de politiques de configuration centralisées.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Pour vérifier l'état du compte, le propriétaire d'un compte géré de manière centralisée peut utiliser n'importe quelle Get Describe opération du Security HubAPI.

Si vous utilisez la configuration locale ou la gestion manuelle des comptes, ces opérations spécifiques au compte peuvent être utilisées au lieu d'une configuration centralisée.

Les comptes autogérés peuvent également utiliser *Invitations et effectuer des *Members opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.

Unité d'organisation (UO)

Entrée AWS Organizations et Security Hub, un conteneur pour un groupe de Comptes AWS. Une unité organisationnelle (UO) peut également en contenir d'autresOUs, ce qui vous permet de créer une hiérarchie qui ressemble à une arborescence renversée, avec une unité d'organisation parent en haut et des OUs branches allant vers le bas, pour aboutir à des comptes qui sont les feuilles de l'arbre. Une unité organisationnelle peut avoir exactement un parent, et chaque compte d'organisation peut être membre d'une seule unité organisationnelle.

Vous pouvez gérer OUs dans AWS Organizations or AWS Control Tower. Pour plus d'informations, consultez la section Gestion des unités organisationnelles dans AWS Organizations Guide de l'utilisateur ou gérez les organisations et les comptes avec AWS Control Tower dans le .AWS Control Tower Guide de l'utilisateur.

L'administrateur délégué peut associer des politiques de configuration à des comptes spécifiques ou à la racine pour couvrir tous les comptes et OUs au sein d'une organisation. OUs

Géré de manière centralisée

Une cible que seul l'administrateur délégué peut configurer dans toutes les régions à l'aide de politiques de configuration.

Le compte d'administrateur délégué indique si une cible est gérée de manière centralisée. L'administrateur délégué peut également modifier le statut d'une cible de gestion centralisée à autogéré, ou inversement.

Autogéré

Une cible qui gère ses propres paramètres Security Hub. Une cible autogérée utilise des opérations spécifiques au compte pour configurer Security Hub séparément dans chaque région. Cela contraste avec les cibles gérées de manière centralisée, qui ne sont configurables que par l'administrateur délégué dans toutes les régions via des politiques de configuration.

Le compte d'administrateur délégué indique si une cible est autogérée. L'administrateur délégué peut appliquer un comportement autogéré à une cible. Un compte ou une unité d'organisation peut également hériter d'un comportement autogéré d'un parent.

Le compte d'administrateur délégué peut lui-même être un compte autogéré. Le compte d'administrateur délégué peut faire passer le statut d'une cible d'autogéré à géré de manière centralisée, ou inversement.

Association de politiques de configuration

Lien entre une politique de configuration et un compte, une unité organisationnelle (UO) ou un root. Lorsqu'une association de politiques existe, le compte, l'unité d'organisation ou le root utilise les paramètres définis par la politique de configuration. Une association existe dans l'un ou l'autre des cas suivants :

  • Lorsque l'administrateur délégué applique directement une politique de configuration à un compte, à une unité d'organisation ou à un root

  • Lorsqu'un compte ou une unité d'organisation hérite d'une politique de configuration d'une unité d'organisation parent ou de la racine

Une association existe jusqu'à ce qu'une configuration différente soit appliquée ou héritée.

Politique de configuration appliquée

Type d'association de politique de configuration dans lequel l'administrateur délégué applique directement une politique de configuration aux comptes ciblesOUs, ou à la racine. Les cibles sont configurées conformément à la politique de configuration, et seul l'administrateur délégué peut modifier leur configuration. Si elle est appliquée à root, la politique de configuration s'applique à tous les comptes et OUs au sein de l'organisation qui n'utilisent pas de configuration différente par le biais d'une application ou d'un héritage du parent le plus proche.

L'administrateur délégué peut également appliquer une configuration autogérée à des comptes spécifiques ou à l'utilisateur root. OUs

Politique de configuration héritée

Type d'association de politique de configuration dans lequel un compte ou une unité d'organisation adopte la configuration de l'unité d'organisation parent la plus proche ou de la racine. Si une politique de configuration n'est pas directement appliquée à un compte ou à une unité d'organisation, elle hérite de la configuration du parent le plus proche. Tous les éléments d'une politique sont hérités. En d'autres termes, un compte ou une unité d'organisation ne peut pas choisir d'hériter de manière sélective de certaines parties d'une politique. Si le parent le plus proche est autogéré, le compte enfant ou l'unité d'organisation hérite du comportement autogéré du parent.

L'héritage ne peut pas remplacer une configuration appliquée. En d'autres termes, si une politique de configuration ou une configuration autogérée est directement appliquée à un compte ou à une unité d'organisation, elle utilise cette configuration et n'hérite pas de la configuration du parent.

Racine

Entrée AWS Organizations et Security Hub, le nœud parent de niveau supérieur d'une organisation. Si l'administrateur délégué applique une politique de configuration à root, celle-ci est associée à tous les comptes et OUs au sein de l'organisation, sauf s'ils utilisent une stratégie différente, par le biais d'une application ou d'un héritage, ou s'ils sont désignés comme autogérés. Si l'administrateur désigne le root comme étant autogéré, tous les comptes et OUs ceux de l'organisation sont autogérés, sauf s'ils utilisent une politique de configuration via une application ou un héritage. Si le root est autogéré et qu'aucune politique de configuration n'existe actuellement, tous les nouveaux comptes de l'organisation conservent leurs paramètres actuels.

Les nouveaux comptes qui rejoignent une organisation sont considérés comme des comptes root jusqu'à ce qu'ils soient affectés à une unité d'organisation spécifique. Si aucun nouveau compte n'est attribué à une unité d'organisation, il hérite de la configuration racine, sauf si l'administrateur délégué le désigne comme un compte autogéré.