Fonctionnement de la configuration centrale - AWS Security Hub
Avantages de la configuration centraliséeQui doit utiliser la configuration centralisée ?Termes et concepts de configuration centrale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement de la configuration centrale

La configuration centrale est une fonctionnalité de Security Hub qui vous permet de configurer et de gérer Security Hub sur plusieurs Comptes AWS et Régions AWS. Pour utiliser la configuration centralisée, vous devez d'abord intégrer Security Hub et AWS Organizations. Vous pouvez intégrer les services en créant une organisation et en désignant un compte administrateur Security Hub délégué pour l'organisation.

À partir du compte administrateur délégué du Security Hub, vous pouvez définir la manière dont le service Security Hub, les normes de sécurité et les contrôles de sécurité sont configurés dans les comptes et les unités organisationnelles (UO) de votre organisation dans toutes les régions. Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée région d'origine. Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub séparément dans chaque compte et région.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut choisir les comptes et les unités d'organisation à configurer. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant autogéré, le membre peut configurer ses propres paramètres séparément dans chaque région. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant géré de manière centralisée, seul l'administrateur délégué peut configurer le compte de membre ou l'unité d'organisation dans toutes les régions. Vous pouvez désigner tous les comptes et unités d'organisation de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux.

Pour configurer des comptes gérés de manière centralisée, l'administrateur délégué utilise les politiques de configuration du Security Hub. Les politiques de configuration permettent à l'administrateur délégué de spécifier si Security Hub est activé ou désactivé, ainsi que les normes et les contrôles qui sont activés et désactivés. Ils peuvent également être utilisés pour personnaliser les paramètres de certaines commandes.

Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. L'administrateur délégué spécifie la région d'origine de l'organisation et les régions associées avant de commencer à utiliser la configuration centrale. L'administrateur délégué peut créer une politique de configuration unique pour l'ensemble de l'organisation, ou créer plusieurs politiques de configuration pour configurer des paramètres variables pour différents comptes et unités d'organisation.

Cette section fournit une vue d'ensemble de la configuration centrale.

Avantages de la configuration centralisée

Les avantages de la configuration centralisée sont les suivants :

Simplifier la configuration du service et des fonctionnalités du Security Hub

Lorsque vous utilisez la configuration centralisée, Security Hub vous guide tout au long du processus de configuration des meilleures pratiques de sécurité pour votre entreprise. Il déploie également automatiquement les politiques de configuration qui en résultent sur des comptes et des unités d'organisation spécifiés. Si vous disposez de paramètres Security Hub existants, tels que l'activation automatique de nouveaux contrôles de sécurité, vous pouvez les utiliser comme point de départ pour vos politiques de configuration. En outre, la page de configuration de la console Security Hub affiche un résumé en temps réel de vos politiques de configuration et indique quels comptes et unités d'organisation utilisent chaque politique.

Configuration sur plusieurs comptes et régions

Vous pouvez utiliser la configuration centralisée pour configurer Security Hub sur plusieurs comptes et régions. Cela permet de garantir que chaque partie de votre organisation conserve une configuration cohérente et une couverture de sécurité adéquate.

Adaptation à différentes configurations selon les comptes et les unités d'organisation

Grâce à la configuration centralisée, vous pouvez choisir de configurer les comptes et les unités d'organisation de différentes manières. Par exemple, vos comptes de test et de production peuvent nécessiter des configurations différentes. Vous pouvez également créer une politique de configuration qui couvre les nouveaux comptes lorsqu'ils rejoignent l'organisation.

Empêcher la dérive de configuration

Une dérive de configuration se produit lorsqu'un utilisateur apporte une modification à un service ou à une fonctionnalité qui entre en conflit avec les sélections de l'administrateur délégué. La configuration centrale empêche cette dérive. Lorsque vous désignez un compte ou une unité d'organisation comme étant géré de manière centralisée, il n'est configurable que par l'administrateur délégué de l'organisation. Si vous préférez qu'un compte ou une unité d'organisation spécifique configure ses propres paramètres, vous pouvez le désigner comme autogéré.

Qui doit utiliser la configuration centralisée ?

La configuration centralisée est particulièrement avantageuse pour AWS les environnements qui incluent plusieurs comptes Security Hub. Il est conçu pour vous aider à gérer de manière centralisée Security Hub pour plusieurs comptes.

Vous pouvez utiliser la configuration centralisée pour configurer le service Security Hub, les normes de sécurité et les contrôles de sécurité. Vous pouvez également l'utiliser pour personnaliser les paramètres de certaines commandes. Pour plus d'informations sur les normes et les contrôles, voirContrôles et normes de AWS sécurité dans Security Hub.

Termes et concepts de configuration centrale

La compréhension des termes et concepts clés suivants peut vous aider à utiliser la configuration centrale de Security Hub.

Configuration centrale

Une fonctionnalité Security Hub qui permet au compte administrateur délégué d'une organisation de configurer le service Security Hub, les normes de sécurité et les contrôles de sécurité sur plusieurs comptes et régions. Pour configurer ces paramètres, l'administrateur délégué crée et gère les politiques de configuration du Security Hub pour les comptes gérés de manière centralisée au sein de son organisation. Les comptes autogérés peuvent configurer leurs propres paramètres séparément dans chaque région. Pour utiliser la configuration centralisée, vous devez intégrer Security Hub et AWS Organizations.

Région d'origine

Région AWS À partir duquel l'administrateur délégué configure Security Hub de manière centralisée, en créant et en gérant des politiques de configuration. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées.

La région d'origine sert également de région d'agrégation du Security Hub, recevant les résultats, les informations et autres données des régions liées.

Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Une région optionnelle ne peut pas être la région d'origine, mais elle peut être une région liée. Pour obtenir la liste des régions optionnelles, consultez la section Considérations à prendre en compte avant d'activer et de désactiver les régions dans le Guide de référence sur la gestion des AWS comptes.

Région liée

Et Région AWS qui est configurable depuis la région d'origine. Les politiques de configuration sont créées par l'administrateur délégué dans la région d'origine. Les politiques entrent en vigueur dans la région d'origine et dans toutes les régions associées. Vous devez spécifier au moins une région liée pour utiliser la configuration centrale.

Une région liée envoie également des résultats, des informations et d'autres données à la région d'origine.

Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration puisse lui être appliquée. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour plus d'informations, voir Spécifier les comptes que Régions AWS votre compte peut utiliser dans le Guide de référence sur la gestion des AWS comptes.

Politique de configuration du Security Hub

Ensemble de paramètres Security Hub que l'administrateur délégué peut configurer pour les comptes gérés de manière centralisée. Cela consiste notamment à :

  • S'il faut activer ou désactiver Security Hub.

  • S'il faut activer une ou plusieurs normes de sécurité.

  • Quels contrôles de sécurité activer dans le cadre des normes activées. L'administrateur délégué peut le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub désactive tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés). L'administrateur délégué peut également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub active tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés).

  • Vous pouvez éventuellement personnaliser les paramètres pour sélectionner les contrôles activés selon les normes activées.

Une politique de configuration prend effet dans la région d'origine et dans toutes les régions associées une fois qu'elle est associée à au moins un compte, une unité organisationnelle (UO) ou la racine.

Sur la console Security Hub, l'administrateur délégué peut choisir la politique de configuration recommandée par Security Hub ou créer des politiques de configuration personnalisées. Avec l'API Security Hub AWS CLI, l'administrateur délégué ne peut créer que des politiques de configuration personnalisées. L'administrateur délégué peut créer un maximum de 20 politiques de configuration personnalisées.

Dans la politique de configuration recommandée, Security Hub, la norme AWS Foundational Security Best Practices (FSBP) et tous les contrôles FSBP existants et nouveaux sont activés. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique de configuration recommandée s'applique à l'ensemble de l'organisation.

Pour appliquer différents paramètres à l'organisation ou appliquer différentes politiques de configuration à différents comptes et unités d'organisation, créez une politique de configuration personnalisée.

Configuration locale

Type de configuration par défaut pour une organisation, après avoir intégré Security Hub et AWS Organizations. Avec la configuration locale, l'administrateur délégué peut choisir d'activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes d'organisation de la région actuelle. Si l'administrateur délégué active automatiquement les normes par défaut, tous les contrôles inclus dans ces normes sont également automatiquement activés avec les paramètres par défaut pour les nouveaux comptes de l'organisation. Ces paramètres ne s'appliquent pas aux comptes existants. Une modification de la configuration est donc possible une fois qu'un compte a rejoint l'organisation. La désactivation de contrôles spécifiques faisant partie des normes par défaut et la configuration de normes et de contrôles supplémentaires doivent être effectuées séparément dans chaque compte et région.

La configuration locale ne prend pas en charge l'utilisation de politiques de configuration. Pour utiliser les politiques de configuration, vous devez passer à la configuration centralisée.

Gestion manuelle des comptes

Si vous n'intégrez pas Security Hub à Security Hub AWS Organizations ou si vous possédez un compte autonome, vous devez définir les paramètres de chaque compte séparément dans chaque région. La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration.

API de configuration centralisées

Opérations du Security Hub que seul l'administrateur délégué au Security Hub peut utiliser dans la région d'origine pour gérer les politiques de configuration des comptes gérés de manière centralisée. Les opérations incluent :

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

API spécifiques au compte

Opérations du Security Hub qui peuvent être utilisées pour activer ou désactiver le Security Hub, les normes et les contrôles sur une account-by-account base donnée. Ces opérations sont utilisées dans chaque région.

Les comptes autogérés peuvent utiliser des opérations spécifiques au compte pour configurer leurs propres paramètres. Les comptes gérés de manière centralisée ne peuvent pas utiliser les opérations spécifiques suivantes dans la région d'origine et dans les régions associées. Dans ces régions, seul l'administrateur délégué peut configurer des comptes gérés de manière centralisée par le biais d'opérations de configuration et de politiques de configuration centralisées.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Pour vérifier l'état du compte, le propriétaire d'un compte géré de manière centralisée peut utiliser n'importe quelle Get Describe opération de l'API Security Hub.

Si vous utilisez la configuration locale ou la gestion manuelle des comptes, ces opérations spécifiques au compte peuvent être utilisées au lieu d'une configuration centralisée.

Les comptes autogérés peuvent également utiliser *Invitations des *Members opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.

Unité d'organisation (UO)

In AWS Organizations and Security Hub, un conteneur pour un groupe de Comptes AWS. Une unité organisationnelle (UO) peut également contenir d'autres UO, ce qui vous permet de créer une hiérarchie qui ressemble à une arborescence renversée, avec une UO parent en haut et des branches d'UO descendantes pour aboutir à des comptes qui sont les feuilles de l'arbre. Une unité organisationnelle peut avoir exactement un parent, et chaque compte d'organisation peut être membre d'une seule unité organisationnelle.

Vous pouvez gérer les unités d'organisation dans AWS Organizations ou AWS Control Tower. Pour plus d'informations, voir Gestion des unités organisationnelles dans le Guide de l'AWS Organizations utilisateur ou Gouverner les organisations et les comptes avec AWS Control Tower dans le Guide de AWS Control Tower l'utilisateur.

L'administrateur délégué peut associer des politiques de configuration à des comptes ou à des unités d'organisation spécifiques, ou à la racine pour couvrir tous les comptes et unités d'organisation d'une organisation.

Géré de manière centralisée

Un compte, une unité d'organisation ou une racine que seul l'administrateur délégué peut configurer dans toutes les régions à l'aide de politiques de configuration.

Le compte d'administrateur délégué indique si un compte est géré de manière centralisée. L'administrateur délégué peut également modifier le statut d'un compte géré de manière centralisée à autogéré, ou inversement.

Autogéré

Un compte, une unité d'organisation ou un root qui gère ses propres paramètres Security Hub. Un compte autogéré utilise des opérations spécifiques au compte pour configurer Security Hub séparément dans chaque région. Cela contraste avec les comptes gérés de manière centralisée, qui ne sont configurables que par l'administrateur délégué dans toutes les régions via des politiques de configuration.

Le compte d'administrateur délégué indique si un compte est autogéré. Le compte d'administrateur délégué peut également modifier le statut d'un compte d'autogéré à géré de manière centralisée, ou inversement.

L'administrateur délégué peut appliquer un comportement autogéré à un compte ou à une unité d'organisation. Un compte ou une unité d'organisation peut également hériter d'un comportement autogéré d'un parent. Le compte d'administrateur délégué peut lui-même être un compte autogéré.

Association de politiques de configuration

Lien entre une politique de configuration et un compte, une unité organisationnelle (UO) ou un root. Lorsqu'une association de politiques existe, le compte, l'unité d'organisation ou le root utilise les paramètres définis par la politique de configuration. Une association existe dans l'un ou l'autre des cas suivants :

  • Lorsque l'administrateur délégué applique directement une politique de configuration à un compte, à une unité d'organisation ou à un root

  • Lorsqu'un compte ou une unité d'organisation hérite d'une politique de configuration d'une unité d'organisation parent ou de la racine

Une association existe jusqu'à ce qu'une configuration différente soit appliquée ou héritée.

Politique de configuration appliquée

Type d'association de politique de configuration dans lequel l'administrateur délégué applique directement une politique de configuration aux comptes cibles, aux unités d'organisation ou à la racine. Les cibles sont configurées conformément à la politique de configuration, et seul l'administrateur délégué peut modifier leur configuration. Si elle est appliquée à root, la politique de configuration affecte tous les comptes et unités d'organisation de l'organisation qui n'utilisent pas de configuration différente par le biais d'une application ou d'un héritage du parent le plus proche.

L'administrateur délégué peut également appliquer une configuration autogérée à des comptes spécifiques, à des unités d'organisation ou à la racine.

Politique de configuration héritée

Type d'association de politique de configuration dans lequel un compte ou une unité d'organisation adopte la configuration de l'unité d'organisation parent la plus proche ou de la racine. Si une politique de configuration n'est pas directement appliquée à un compte ou à une unité d'organisation, elle hérite de la configuration du parent le plus proche. Tous les éléments d'une politique sont hérités. En d'autres termes, un compte ou une unité d'organisation ne peut pas choisir d'hériter de manière sélective de certaines parties d'une politique. Si le parent le plus proche est autogéré, le compte enfant ou l'unité d'organisation hérite du comportement autogéré du parent.

L'héritage ne peut pas remplacer une configuration appliquée. En d'autres termes, si une politique de configuration ou une configuration autogérée est directement appliquée à un compte ou à une unité d'organisation, elle utilise cette configuration et n'hérite pas de la configuration du parent.

Racine

In AWS Organizations and Security Hub, le nœud parent de niveau supérieur d'une organisation. Si l'administrateur délégué applique une politique de configuration à root, celle-ci est associée à tous les comptes et unités d'organisation de l'organisation, sauf s'ils utilisent une stratégie différente, par le biais d'une application ou d'un héritage, ou s'ils sont désignés comme autogérés. Si l'administrateur désigne le root comme étant autogéré, tous les comptes et unités d'organisation de l'organisation sont autogérés, sauf s'ils utilisent une politique de configuration via une application ou un héritage. Si le root est autogéré et qu'aucune politique de configuration n'existe actuellement, tous les nouveaux comptes de l'organisation conservent leurs paramètres actuels.

Les nouveaux comptes qui rejoignent une organisation sont considérés comme des comptes root jusqu'à ce qu'ils soient affectés à une unité d'organisation spécifique. Si aucun nouveau compte n'est attribué à une unité d'organisation, il hérite de la configuration racine, sauf si l'administrateur délégué le désigne comme un compte autogéré.