Recommandations avant d'activer Security Hub - AWS Security Hub
Intégration avec AWS OrganizationsUtilisation de la configuration centraleConfiguration AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations avant d'activer Security Hub

Les recommandations suivantes peuvent vous aider à commencer à utiliser AWS Security Hub.

Intégration avec AWS Organizations

AWS Organizations est un service global de gestion des comptes qui permet aux AWS administrateurs de consolider et de gérer de manière centralisée plusieurs Comptes AWS unités organisationnelles (UO). Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs applications Services AWS, notamment Security Hub GuardDuty, Amazon et Amazon Macie.

Pour automatiser et rationaliser la gestion des comptes, nous vous recommandons vivement d'intégrer Security Hub et AWS Organizations. Vous pouvez intégrer Organizations si plusieurs d'entre Compte AWS elles utilisent Security Hub.

Pour obtenir des instructions sur l'activation de l'intégration, consultezIntégration de Security Hub à AWS Organizations.

Utilisation de la configuration centrale

Lorsque vous intégrez Security Hub et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée configuration centrale pour configurer et gérer Security Hub pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centrale permet à l'administrateur délégué de configurer Security Hub entre les comptes, les unités d'organisation et Régions AWS. L'administrateur délégué configure Security Hub en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :

  • Si Security Hub est activé ou désactivé

  • Quelles normes de sécurité sont activées et désactivées

  • Quels contrôles de sécurité sont activés et désactivés

  • S'il faut personnaliser les paramètres de certaines commandes

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes et unités d'organisation. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et les unités d'organisation qui utilisent une politique de configuration sont gérés de manière centralisée et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membres et des unités d'organisation spécifiques comme étant autogérés afin de permettre au membre de configurer ses propres paramètres région par région.

Pour en savoir plus sur la configuration centralisée, voirFonctionnement de la configuration centrale.

Configuration AWS Config

AWS Security Hub utilise des AWS Config règles liées aux services pour effectuer des contrôles de sécurité pour la plupart des contrôles.

Pour prendre en charge ces contrôles, AWS Config ils doivent être activés sur tous les comptes (compte administrateur et compte membre) dans chacun des comptes où Région AWS Security Hub est activé. En outre, chaque norme activée AWS Config doit être configurée pour enregistrer les ressources requises pour les contrôles activés.

Nous vous recommandons d'activer l'enregistrement des ressources AWS Config avant d'activer les normes Security Hub. Si Security Hub essaie d'exécuter des contrôles de sécurité alors que l'enregistrement des ressources est désactivé, les contrôles renvoient des erreurs.

Security Hub ne s'en charge pas AWS Config pour vous. Si vous l'avez déjà AWS Config activé, vous pouvez configurer ses paramètres via la AWS Config console ou les API.

Si vous activez une norme mais que vous ne l'avez pas activée AWS Config, Security Hub essaie de créer les AWS Config règles selon le calendrier suivant :

  • Le jour où vous activez la norme

  • Le lendemain de l'activation de la norme

  • 3 jours après avoir activé la norme

  • 7 jours après l'activation de la norme (et en continu tous les 7 jours par la suite)

Si vous utilisez la configuration centralisée, Security Hub essaie également de créer les AWS Config règles lorsque vous réappliquez une politique de configuration qui active une ou plusieurs normes.

Activant AWS Config

Si ce n'est pas AWS Config déjà fait, vous pouvez l'activer de l'une des manières suivantes :

  • Console ou AWS CLI — Vous pouvez l'activer manuellement AWS Config à l'aide de la AWS Config console ou AWS CLI. Voir Getting started with AWS Config dans le guide du AWS Config développeur.

  • AWS CloudFormation modèle — Si vous souhaitez l'activer AWS Config sur un grand nombre de comptes, vous pouvez l'activer AWS Config avec le CloudFormation modèle Enable AWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSets exemples de modèles dans le guide de AWS CloudFormation l'utilisateur.

  • Script Github — Security Hub propose un GitHub script qui active Security Hub pour plusieurs comptes dans différentes régions. Ce script est utile si vous n'avez pas intégré Organizations ou si vous avez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il active AWS Config également automatiquement ces comptes.

Pour plus d'informations sur l'activation AWS Config afin de vous aider à exécuter les contrôles de sécurité de Security Hub, consultez Optimize AWS ConfigAWS Security Hub pour gérer efficacement votre niveau de sécurité dans le cloud.

Activer l'enregistrement des ressources dans AWS Config

Lorsque vous activez l'enregistrement des ressources AWS Config avec les paramètres par défaut, il enregistre tous les types de ressources régionales pris en charge qui AWS Config sont découverts dans le Région AWS système dans lequel il est exécuté. Vous pouvez également configurer AWS Config pour enregistrer les types de ressources globales pris en charge. Vous n'avez besoin d'enregistrer les ressources mondiales que dans une seule région (nous vous recommandons d'utiliser votre région d'origine si vous utilisez une configuration centralisée).

Si vous utilisez CloudFormation StackSets pour activer AWS Config, nous vous recommandons d'en exécuter deux différentes StackSets. Exécutez-en un StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécutez une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales des autres régions.

Vous pouvez également utiliser la configuration rapide, une fonctionnalité de AWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dans l' AWS Config ensemble de vos comptes et régions. Au cours du processus de configuration rapide, vous pouvez choisir la région dans laquelle vous souhaitez enregistrer les ressources mondiales. Pour plus d'informations, consultez AWS Config la section Enregistreur de configuration dans le guide de AWS Systems Manager l'utilisateur.

La configuration de contrôle de sécurité Config.1 génère des résultats erronés pour les régions autres que les régions liées dans un agrégateur (la région d'origine et les régions ne figurent pas complètement dans un agrégateur de recherche) si cette région n'enregistre pas les ressources globales AWS Identity and Access Management (IAM) et a activé les contrôles qui nécessitent l'enregistrement des ressources mondiales IAM. Dans les régions liées, Config.1 ne vérifie pas si les ressources globales IAM sont enregistrées. Pour obtenir la liste des ressources requises par chaque contrôle, consultezAWS Config ressources nécessaires pour générer des résultats de contrôle.

Si vous utilisez le script multi-comptes pour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources mondiales, dans toutes les régions. Vous pouvez ensuite mettre à jour la configuration pour enregistrer les ressources globales dans une seule région uniquement. Pour plus d'informations, consultez la section Sélection des ressources AWS Config enregistrées dans le Guide du AWS Config développeur.

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles basés sur des AWS Config règles, vous devez activer l'enregistrement pour les ressources pertinentes. Pour obtenir la liste des contrôles et des AWS Config ressources associées, consultezAWS Config ressources nécessaires pour générer des résultats de contrôle.AWS Config vous permet de choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous choisissez l'enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.

Note

Pour générer de nouvelles découvertes après les contrôles de sécurité et éviter les résultats périmés, vous devez disposer d'autorisations suffisantes pour que le rôle IAM associé à l'enregistreur de configuration puisse évaluer les ressources sous-jacentes.

Considérations de coût

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Security Hub Tarification et AWS Config tarification.

Security Hub peut avoir un impact sur les coûts AWS Config de votre enregistreur de configuration en mettant à jour l'élément AWS::Config::ResourceCompliance de configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans la AWS Config console ou AWS CLI. Cela peut réduire vos AWS Config coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub.