Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation et configuration AWS Config pour Security Hub CSPM
AWS Security Hub CSPM utilise des AWS Config règles pour exécuter des contrôles de sécurité et générer des résultats pour la plupart des contrôles. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Il utilise des règles pour établir une configuration de base pour vos ressources et un enregistreur de configuration pour détecter si une ressource particulière enfreint les conditions d'une règle.
Certaines règles, appelées règles AWS Config gérées, sont prédéfinies et développées par AWS Config. Les autres règles sont des AWS Config règles personnalisées développées par Security Hub CSPM. AWS Config les règles utilisées par Security Hub CSPM pour les contrôles sont appelées règles liées aux services. Service-linked les règles permettent Services AWS , comme Security Hub CSPM, de créer des AWS Config règles dans votre compte.
Si AWS Security Hub CSPM et Security Hub sont activés, Security Hub CSPM crée automatiquement un enregistreur de configuration lié au service pour évaluer vos contrôles de sécurité. Il n'est pas nécessaire de l'activer ou de le configurer manuellement AWS Config. Pour de plus amples informations, veuillez consulter Utilisation de l'enregistreur de configuration lié au service.
Si Security Hub CSPM est activé sans Security Hub, vous devez activer AWS Config et activer manuellement l'enregistrement des ressources. Pour de plus amples informations, veuillez consulter Configuration manuelle AWS Config.
Rubriques
Utilisation de l'enregistreur de configuration lié au service
Lorsque Security Hub CSPM et AWS Security Hub sont activés, Security Hub CSPM crée et gère automatiquement un enregistreur de configuration lié à un service pour l'ensemble de vos comptes et de vos régions. Il n'est pas nécessaire de l'activer ou de le configurer manuellement AWS Config.
Le nom de cet enregistreur de configuration estAWSConfigurationRecorderForSecurityHubCSPM. Security Hub CSPM crée un enregistreur de configuration lié au service correspondant pour chaque compte et région dans lesquels Security Hub CSPM et Security Hub sont activés. Lorsque vous activez Security Hub CSPM pour de nouveaux Compte AWS s et Région AWS s, Security Hub CSPM crée automatiquement l'enregistreur de configuration lié au service.
Security Hub CSPM gère la configuration des ressources de l'enregistreur de configuration lié au service, en veillant à ce que l'enregistrement soit activé pour toutes les ressources liées aux contrôles pris en charge par Security Hub. Pour obtenir la liste des ressources requises, voirObligatoire AWS Config ressources pour les résultats des contrôles.
Lorsque Security Hub CSPM crée cet enregistreur de configuration lié à un service, Security Hub n'utilise pas l'enregistreur de configuration géré par le client dans. AWS Config
Pour plus d'informations sur les enregistreurs de configuration, voir Utilisation de l'enregistreur de configuration dans le Guide du AWS Config développeur.
Configuration manuelle AWS Config
Les étapes suivantes s'appliquent lorsque Security Hub CSPM est activé sans Security Hub. Dans ce cas, vous devez activer AWS Config pour votre compte et activer l'enregistrement des ressources pour les types de ressources que vos contrôles activés évaluent. Ensuite, Security Hub CSPM crée les AWS Config règles appropriées et commence à exécuter des contrôles de sécurité pour générer des résultats.
Considérations avant l'activation et la configuration AWS Config
Pour recevoir les résultats de contrôle dans Security Hub CSPM, celui-ci AWS Config doit être activé pour votre compte dans chaque Région AWS cas où Security Hub CSPM est activé. Si vous utilisez Security Hub CSPM pour un environnement multi-comptes, celui-ci AWS Config doit être activé dans chaque région pour le compte administrateur et tous les comptes membres.
Nous vous recommandons vivement d'activer l'enregistrement des ressources AWS Config avant d'activer les normes et contrôles CSPM du Security Hub. Cela vous permet de vous assurer que les résultats de vos contrôles sont exacts.
Pour activer l'enregistrement des ressources dans AWS Config, vous devez disposer des autorisations suffisantes pour enregistrer les ressources dans le rôle Gestion des identités et des accès AWS (IAM) attaché à l'enregistreur de configuration. En outre, assurez-vous qu'aucune politique ou AWS Organizations politique IAM n' AWS Config empêche d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles CSPM du Security Hub évaluent directement les configurations des ressources et ne tiennent pas compte AWS Organizations des politiques. Pour plus d'informations sur AWS Config l'enregistrement, consultez la section Utilisation de l'enregistreur de configuration dans le Guide du AWS Config développeur.
Si vous activez une norme dans Security Hub CSPM mais que vous ne l'avez pas activée AWS Config, Security Hub CSPM essaie de créer des AWS Config règles liées au service selon le calendrier suivant :
-
Le jour où vous activez la norme.
-
Le lendemain de l'activation de la norme.
-
3 jours après avoir activé la norme.
-
7 jours après l'activation de la norme, puis en continu tous les 7 jours.
Si vous utilisez la configuration centralisée, Security Hub CSPM essaie également de créer des AWS Config règles liées aux services chaque fois que vous associez une politique de configuration qui active une ou plusieurs normes aux comptes, aux unités organisationnelles (UO) ou à la racine.
Enregistrer des ressources dans AWS Config
Lorsque vous l'activez AWS Config, vous devez spécifier les AWS ressources que l'enregistreur AWS Config de configuration doit enregistrer. Grâce aux règles liées au service, l'enregistreur de configuration permet à Security Hub CSPM de détecter les modifications apportées à la configuration de vos ressources.
Pour que Security Hub CSPM génère des résultats de contrôle précis, vous devez activer l'enregistrement AWS Config pour les types de ressources correspondant à vos contrôles activés. Il s'agit principalement de contrôles activés avec un type de calendrier déclenché par des modifications qui nécessitent un enregistrement des ressources. Certains contrôles dotés d'un type de calendrier périodique nécessitent également un enregistrement des ressources. Pour obtenir la liste de ces contrôles et des ressources correspondantes, consultezObligatoire AWS Config ressources pour les résultats des contrôles.
Avertissement
Si vous ne configurez pas correctement AWS Config l'enregistrement pour les contrôles Security Hub CSPM, cela peut entraîner des résultats de contrôle inexacts, en particulier dans les cas suivants :
-
Vous n'avez jamais enregistré la ressource pour un contrôle donné, ou vous avez désactivé l'enregistrement d'une ressource avant de créer ce type de ressource. Dans ces cas, vous recevez un
WARNINGrésultat pour le contrôle en question, même si vous avez peut-être créé des ressources dans le cadre du contrôle après avoir désactivé l'enregistrement. IlWARNINGs'agit d'un résultat par défaut qui n'évalue pas réellement l'état de configuration de la ressource. -
Vous désactivez l'enregistrement pour une ressource évaluée par un contrôle particulier. Dans ce cas, Security Hub CSPM conserve les résultats du contrôle générés avant que vous ne désactiviez l'enregistrement, même si le contrôle n'évalue pas les ressources nouvelles ou mises à jour. Security Hub CSPM modifie également le statut de conformité des résultats en.
WARNINGCes résultats conservés peuvent ne pas refléter avec précision l'état de configuration actuel d'une ressource.
Par défaut, AWS Config enregistre toutes les ressources régionales prises en charge qu'il découvre dans le Région AWS système dans lequel il s'exécute. Pour recevoir tous les résultats du contrôle CSPM du Security Hub, vous devez également configurer AWS Config pour enregistrer les ressources globales. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, cette région doit être votre région d'origine.
Dans AWS Config, vous pouvez choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats CSPM du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.
Pour plus d'informations sur AWS Config l'enregistrement, consultez la section AWS Ressources relatives à l'enregistrement dans le Guide du AWS Config développeur.
Méthodes d'activation et de configuration AWS Config
Vous pouvez activer AWS Config et activer l'enregistrement des ressources de l'une des manières suivantes :
-
AWS Config console — Vous pouvez activer un compte AWS Config à l'aide de la AWS Config console. Pour obtenir des instructions, consultez la section Configuration AWS Config avec la console dans le guide du AWS Config développeur.
-
AWS CLI ou SDK : vous pouvez activer AWS Config un compte en utilisant le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section Configuration AWS Config avec le AWS CLI dans le guide du AWS Config développeur. AWS des kits de développement logiciel (SDK) sont également disponibles pour de nombreux langages de programmation.
-
CloudFormation modèle — Pour l'activer AWS Config pour de nombreux comptes, nous vous recommandons d'utiliser le AWS CloudFormation modèle nommé Enable AWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSet exemples de modèles dans le guide de AWS CloudFormation l'utilisateur.
Par défaut, ce modèle exclut l'enregistrement pour les ressources globales IAM. Assurez-vous d'activer l'enregistrement pour les ressources mondiales IAM en une seule fois afin de réduire Région AWS les coûts d'enregistrement. Si l'agrégation entre régions est activée, il doit s'agir de votre région d'origine du Security Hub CSPM. Sinon, il peut s'agir de n'importe quelle région dans laquelle Security Hub CSPM est disponible et qui prend en charge l'enregistrement des ressources mondiales IAM. Nous vous recommandons d'en exécuter un StackSet pour enregistrer toutes les ressources, y compris les ressources globales IAM, dans la région d'origine ou dans une autre région sélectionnée. Exécutez ensuite une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales IAM dans les autres régions.
-
GitHub script : Security Hub CSPM propose un GitHubscript
qui active Security Hub CSPM AWS Config pour plusieurs comptes dans toutes les régions. Ce script est utile si vous ne vous êtes pas intégré à une AWS Organizations organisation ou si vous possédez des comptes membres qui ne font pas partie d'une organisation.
Pour plus d'informations, consultez le billet de blog suivant sur le blog de AWS
sécurité : Optimize AWS Config for AWS Security Hub CSPM afin de gérer efficacement votre posture de sécurité dans le cloud
Considérations de coût
Security Hub CSPM peut avoir un impact sur les coûts de votre enregistreur AWS Config de configuration en mettant à jour l'élément de AWS::Config::ResourceCompliance configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub CSPM associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub CSPM et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans. AWS Config Cela peut réduire vos AWS Config
coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub CSPM.
Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, consultez AWS la section Tarification et AWS Config tarification de Security Hub CSPM
Comprendre le Config.1 contrôle
Note
Lorsque AWS Security Hub CSPM et Security Hub sont tous deux activés, le Config.1 contrôle a toujours un statut de. PASSED Security Hub CSPM a un accès direct aux éléments de configuration par le biais d'un enregistreur de configuration lié à un service. Pour de plus amples informations, veuillez consulter Utilisation de l'enregistreur de configuration lié au service.
Dans Security Hub CSPM, le Config.1contrôle génère des FAILED résultats dans votre compte s'il AWS Config est désactivé. Il génère également des FAILED résultats dans votre compte s'il AWS Config est activé mais que l'enregistrement des ressources n'est pas activé.
Si cette option AWS Config est activée et que l'enregistrement des ressources est activé, mais que l'enregistrement des ressources n'est pas activé pour un type de ressource vérifié par un contrôle activé, Security Hub CSPM génère un FAILED résultat pour le Config.1 contrôle. Outre ce FAILED résultat, Security Hub CSPM génère des WARNING résultats concernant le contrôle activé et les types de ressources que le contrôle contrôle. Par exemple, si vous activez le KMS.5contrôle et que l'enregistrement des ressources n'est pas activé pour AWS KMS keys, Security Hub CSPM génère un FAILED résultat pour le Config.1 contrôle. Security Hub CSPM génère également des WARNING résultats pour le KMS.5 contrôle et vos clés KMS.
Pour recevoir un PASSED résultat pour le Config.1 contrôle, activez l'enregistrement des ressources pour tous les types de ressources correspondant aux contrôles activés. Désactivez également les contrôles qui ne sont pas obligatoires pour votre organisation. Cela permet de s'assurer que vous ne présentez aucune lacune de configuration lors de vos contrôles de sécurité. Cela permet également de garantir que vous recevez des informations précises sur les ressources mal configurées.
Si vous êtes l'administrateur délégué du Security Hub CSPM d'une organisation, l' AWS Config enregistrement doit être correctement configuré pour votre compte et les comptes de vos membres. Si vous utilisez l'agrégation entre régions, AWS Config l'enregistrement doit être correctement configuré dans la région d'origine et dans toutes les régions liées. Les ressources mondiales n'ont pas besoin d'être enregistrées dans les régions liées.
Génération de règles liées à un service
Pour chaque contrôle utilisant une AWS Config règle liée à un service, Security Hub CSPM crée des instances de la règle requise dans votre environnement. AWS
Ces règles liées aux services sont spécifiques à Security Hub CSPM. Security Hub CSPM crée ces règles liées aux services même si d'autres instances des mêmes règles existent déjà. La règle liée au service est ajoutée securityhub avant le nom de règle d'origine et un identifiant unique après le nom de règle. Par exemple, pour la règle AWS Config géréevpc-flow-logs-enabled, le nom de la règle liée au service peut être. securityhub-vpc-flow-logs-enabled-12345
Il existe des quotas pour le nombre de règles AWS Config gérées qui peuvent être utilisées pour évaluer les contrôles. AWS Config les règles créées par Security Hub CSPM ne sont pas prises en compte dans ces quotas. Vous pouvez activer une norme de sécurité même si vous avez déjà atteint le AWS Config quota de règles gérées dans votre compte. Pour en savoir plus sur les quotas pour AWS Config les règles, consultez la section Limites AWS Config de service du Guide du AWS Config développeur.
Note
Si vous utilisez Security Hub (CSPM) et Security Hub, vous pouvez voir les règles liées aux services, AWS Config mais vous ne pourrez pas voir les ressources conformes ou non conformes associées à la règle. Les ressources conformes et non conformes ne seront visibles que dans Security Hub CSPM et Security Hub.