Bonnes pratiques pour configurer Security Hub - AWS Security Hub
Intégration de Security Hub et AWS OrganizationsUtilisation de la configuration centraleConfiguration AWS Config pour Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques pour configurer Security Hub

Les meilleures pratiques suivantes peuvent vous aider à tirer le meilleur parti de l'utilisation AWS Security Hub.

Intégration de Security Hub et AWS Organizations

AWS Organizations est un service mondial de gestion de comptes qui permet AWS administrateurs pour consolider et gérer de manière centralisée plusieurs Comptes AWS et unités organisationnelles (OUs). Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est offert sans frais supplémentaires et s'intègre à plusieurs Services AWS, notamment Security Hub GuardDuty, Amazon et Amazon Macie.

Pour automatiser et rationaliser la gestion des comptes, nous vous recommandons vivement d'intégrer Security Hub et AWS Organizations. Vous pouvez intégrer les Organizations si vous en avez plusieurs Compte AWS qui utilise Security Hub.

Pour obtenir des instructions sur l'activation de l'intégration, consultezIntégration de Security Hub à AWS Organizations.

Utilisation de la configuration centrale

Lorsque vous intégrez Security Hub et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée configuration centrale pour configurer et gérer Security Hub pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centralisée permet à l'administrateur délégué de configurer Security Hub sur l'ensemble des comptesOUs, et Régions AWS. L'administrateur délégué configure Security Hub en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :

  • Si Security Hub est activé ou désactivé

  • Quelles normes de sécurité sont activées et désactivées

  • Quels contrôles de sécurité sont activés et désactivés

  • S'il faut personnaliser les paramètres de certaines commandes

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes etOUs. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et OUs ceux qui utilisent une politique de configuration sont gérés de manière centralisée et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membre spécifiques et les désigner OUs comme étant autogérés afin de permettre au membre de configurer ses propres paramètres région par région.

Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub séparément pour chaque compte et chaque région. C'est ce qu'on appelle la configuration locale. Dans le cadre de la configuration locale, l'administrateur délégué peut activer automatiquement Security Hub et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

Pour en savoir plus sur la configuration centralisée, voirComprendre la configuration centrale dans Security Hub.

Configuration AWS Config pour Security Hub

AWS Security Hub utilise un lien vers un service AWS Config règles pour effectuer des contrôles de sécurité et produire des résultats pour la plupart des contrôles. Par conséquent, pour recevoir les résultats des contrôles, AWS Config doit être activé dans votre compte dans chaque Région AWS où Security Hub est activé. Si votre compte fait partie d'une organisation, AWS Config doit être activé dans chaque région dans le compte administrateur et dans tous les comptes membres. En outre, lorsque vous activez une norme de sécurité, AWS Config doit être configuré pour enregistrer les ressources requises pour les contrôles activés qui font partie de la norme.

Nous vous recommandons vivement d'activer l'enregistrement des ressources dans AWS Config avant d'activer les normes Security Hub. Si Security Hub essaie d'exécuter des contrôles de sécurité alors que l'enregistrement des ressources est désactivé, les contrôles renvoient des erreurs jusqu'à ce que vous les activiez AWS Config et activez l'enregistrement des ressources.

Security Hub ne gère pas AWS Config pour toi. Si vous avez déjà AWS Config activé, vous pouvez configurer ses paramètres via AWS Config console ouAPIs.

Si vous activez une norme mais que vous ne l'avez pas activée AWS Config, Security Hub essaie de créer le AWS Config règles selon le calendrier suivant :

  • Le jour où vous activez la norme

  • Le lendemain de l'activation de la norme

  • 3 jours après avoir activé la norme

  • 7 jours après l'activation de la norme (et en continu tous les 7 jours par la suite)

Si vous utilisez la configuration centralisée, Security Hub essaie également de créer AWS Config règles chaque fois que vous appliquez une politique de configuration qui active une ou plusieurs normes avec des comptes, des unités organisationnelles (OUs) ou la racine.

Activation AWS Config

Si vous n'avez pas activé AWS Config déjà, vous pouvez l'activer de l'une des manières suivantes :

  • Console ou AWS CLI— Vous pouvez activer manuellement AWS Config en utilisant le AWS Config console ou AWS CLI. Voir Commencer avec AWS Config dans le .AWS Config Guide du développeur.

  • AWS CloudFormation modèle — Si vous souhaitez activer AWS Config sur un grand nombre de comptes, vous pouvez activer AWS Config avec le CloudFormation modèle Enable AWS Config. Pour accéder à ce modèle, voir AWS CloudFormation StackSets exemples de modèles dans le AWS CloudFormation Guide de l'utilisateur.

  • Script Github — Security Hub propose un GitHub script qui active Security Hub pour plusieurs comptes dans différentes régions. Ce script est utile si vous n'avez pas intégré Organizations ou si vous avez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il active également automatiquement AWS Config pour ces comptes.

Pour plus d'informations sur l'activation AWS Config pour vous aider à exécuter les contrôles de sécurité de Security Hub, consultez Optimize AWS Config for AWS Security Hub pour gérer efficacement votre posture de sécurité dans le cloud.

Activer l'enregistrement des ressources dans AWS Config

Lorsque vous activez l'enregistrement des ressources avec les paramètres par défaut, AWS Config enregistre tous les types de ressources régionales pris en charge qu'il découvre dans le Région AWS dans lequel il fonctionne. Vous pouvez également configurer AWS Config pour enregistrer les types de ressources globales pris en charge. Vous n'avez besoin d'enregistrer les ressources mondiales que dans une seule région (nous recommandons que ce soit votre région d'origine si vous utilisez une configuration centralisée).

Si vous utilisez CloudFormation StackSets pour activer AWS Config, nous vous recommandons d'en exécuter deux différentes StackSets. Exécutez-en un StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécutez une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales des autres régions.

Vous pouvez également utiliser Quick Setup, une fonctionnalité de AWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dans AWS Config sur l'ensemble de vos comptes et de vos régions. Au cours du processus de configuration rapide, vous pouvez choisir la région dans laquelle vous souhaitez enregistrer les ressources mondiales. Pour plus d’informations, consultez .AWS Config enregistreur de configuration dans le AWS Systems Manager Guide de l'utilisateur.

Le contrôle de sécurité Config.1 génère des résultats infructueux pour les régions autres que les régions liées dans un agrégateur (la région d'origine et les régions ne figurent pas complètement dans un agrégateur de recherche) si cette région n'enregistre pas AWS Identity and Access Management (IAM) ressources globales et a permis des contrôles qui nécessitent l'enregistrement des ressources IAM globales. Dans les régions liées, Config.1 ne vérifie pas si les ressources IAM globales sont enregistrées. Pour obtenir la liste des ressources requises par chaque contrôle, consultezAWS Config Ressources requises pour les résultats des contrôles du Security Hub.

Si vous utilisez le script multi-comptes pour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources mondiales, dans toutes les régions. Vous pouvez ensuite mettre à jour la configuration pour enregistrer les ressources globales dans une seule région uniquement. Pour plus d'informations, voir Sélection des ressources AWS Config enregistrements dans le AWS Config Guide du développeur.

Afin que Security Hub puisse rapporter avec précision les résultats des contrôles qui s'appuient sur AWS Config règles, vous devez activer l'enregistrement pour les ressources concernées. Pour une liste des contrôles et de leurs éléments associés AWS Config ressources, voirAWS Config Ressources requises pour les résultats des contrôles du Security Hub.AWS Config vous permet de choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous choisissez un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.

Note

Pour générer de nouvelles découvertes après des contrôles de sécurité et éviter des découvertes périmées, vous devez disposer d'autorisations suffisantes pour que le IAM rôle associé à l'enregistreur de configuration puisse évaluer les ressources sous-jacentes.

Considérations de coût

Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, voir AWS Security Hub tarification et AWS Config tarification.

Security Hub peut avoir un impact sur votre AWS Config l'enregistreur de configuration coûte en mettant à jour l'élément AWS::Config::ResourceCompliance de configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub est associé à un AWS Config la règle change l'état de conformité, est activée ou désactivée, ou comporte des mises à jour de paramètres. Si vous utilisez le plugin AWS Config enregistreur de configuration uniquement pour Security Hub, et n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver son enregistrement dans le AWS Config console ou AWS CLI. Cela peut réduire votre AWS Config coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub.