Prérequis et recommandations - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis et recommandations

Les prérequis et recommandations suivants peuvent vous aider à commencer à utiliserAWS Security Hub.

Intégration avec AWS Organizations

AWS Organizationsest un service global de gestion des comptes qui permet aux AWS administrateurs de consolider et de gérer de manière centralisée plusieurs Comptes AWS unités organisationnelles (UO). Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs applicationsServices AWS, notamment Security Hub GuardDuty, Amazon et Amazon Macie.

Pour automatiser et rationaliser la gestion des comptes, nous vous recommandons vivement d'intégrer Security Hub etAWS Organizations. Vous pouvez intégrer Organizations si plusieurs d'entre Compte AWS elles utilisent Security Hub.

Pour obtenir des instructions sur l'activation de l'intégration, consultezIntégration de Security Hub à AWS Organizations.

Utilisation de la configuration centrale

Lorsque vous intégrez Security Hub et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée configuration centrale pour configurer et gérer Security Hub pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centralisée permet à l'administrateur délégué de configurer Security Hub sur plusieurs comptes, unités d'organisation et régions. L'administrateur délégué configure Security Hub en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :

  • Si Security Hub est activé ou désactivé

  • Quelles normes de sécurité sont activées et désactivées

  • Quels contrôles de sécurité sont activés et désactivés

  • S'il faut personnaliser les paramètres de certaines commandes

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes et unités d'organisation. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et les unités d'organisation qui utilisent une politique de configuration sont gérés de manière centralisée et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membres et des unités d'organisation spécifiques comme étant autogérés afin de permettre au membre de configurer ses propres paramètres région par région.

Pour en savoir plus sur la configuration centralisée, voirConfiguration centralisée dans Security Hub.

Configurer AWS Config

AWS Security Hubutilise des AWS Config règles liées aux services pour effectuer des contrôles de sécurité pour la plupart des contrôles.

Pour prendre en charge ces contrôles, AWS Config ils doivent être activés sur tous les comptes (compte administrateur et compte membre) dans chacun des comptes où Région AWS Security Hub est activé. En outre, chaque norme activée AWS Config doit être configurée pour enregistrer les ressources requises pour les contrôles activés.

Nous vous recommandons d'activer l'enregistrement des ressources AWS Config avant d'activer les normes Security Hub. Si Security Hub essaie d'exécuter des contrôles de sécurité alors que l'enregistrement des ressources est désactivé, les contrôles renvoient des erreurs.

Security Hub ne s'en charge pas AWS Config pour vous. Si vous l'avez déjà AWS Config activé, vous pouvez configurer ses paramètres via la AWS Config console ou les API.

Si vous l'activez AWS Config après avoir activé une norme, Security Hub crée toujours les AWS Config règles, mais uniquement si vous l'activez AWS Config dans les 31 jours suivant l'activation de la norme. Si vous ne l'activez pas AWS Config dans les 31 jours, vous devez désactiver puis réactiver la norme après l'avoir activée. AWS Config

Après avoir activé une norme, Security Hub essaie de créer les AWS Config règles jusqu'à six fois au cours des 31 jours. Le calendrier suivant s'applique :

  • Le jour où vous activez la norme

  • Le lendemain de l'activation de la norme

  • 3 jours après avoir activé la norme

  • 7 jours après avoir activé la norme

  • 15 jours après avoir activé la norme

  • 31 jours après avoir activé la norme

Si vous utilisez la configuration centralisée, Security Hub essaie en plus de ces six fois de créer les AWS Config règles lorsque vous réappliquez une politique de configuration qui active une ou plusieurs normes.

Activer AWS Config

Si ce n'est pas AWS Config déjà fait, vous pouvez l'activer de l'une des manières suivantes :

  • Console ou AWS CLI — Vous pouvez l'activer manuellement AWS Config à l'aide de la AWS Config console ouAWS CLI. Voir Getting started with AWS Config dans le guide du AWS Config développeur.

  • AWS CloudFormationmodèle — Si vous souhaitez l'activer AWS Config sur un grand nombre de comptes, vous pouvez l'activer AWS Config avec le CloudFormation modèle Enable AWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSets exemples de modèles dans le guide de AWS CloudFormation l'utilisateur.

  • Script Github — Security Hub propose un GitHub script qui active Security Hub pour plusieurs comptes dans différentes régions. Ce script est utile si vous n'avez pas intégré Organizations ou si vous avez des comptes qui ne font pas partie de votre organisation. Lorsque vous utilisez ce script pour activer Security Hub, il active AWS Config également automatiquement ces comptes.

Pour plus d'informations sur l'activation AWS Config afin de vous aider à exécuter les contrôles de sécurité de Security Hub, consultez Optimize AWS ConfigAWS Security Hub pour gérer efficacement votre niveau de sécurité dans le cloud.

Activer l'enregistrement des ressources dans AWS Config

Lorsque vous activez l'enregistrement des ressources AWS Config avec les paramètres par défaut, il enregistre tous les types de ressources régionales pris en charge qui AWS Config sont découverts dans le Région AWS système dans lequel il est exécuté. Vous pouvez également configurer AWS Config pour enregistrer les types de ressources globales pris en charge. Vous ne devez enregistrer les ressources mondiales que dans une seule région (nous vous recommandons d'utiliser votre région d'origine si vous utilisez une configuration centralisée).

Si vous utilisez CloudFormation StackSets pour activerAWS Config, nous vous recommandons d'en exécuter deux différentes StackSets. Exécutez-en un StackSet pour enregistrer toutes les ressources, y compris les ressources mondiales, dans une seule région. Exécutez une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales des autres régions.

Vous pouvez également utiliser la configuration rapide, une fonctionnalité deAWS Systems Manager, pour configurer rapidement l'enregistrement des ressources dans l'AWS Configensemble de vos comptes et régions. Au cours du processus de configuration rapide, vous pouvez choisir la région dans laquelle vous souhaitez enregistrer les ressources mondiales. Pour plus d'informations, consultez AWS Configla section Enregistreur de configuration dans le guide de AWS Systems Manager l'utilisateur.

Le contrôle de sécurité Config.1 générera des résultats erronés dans les régions où les ressources globales ne sont pas enregistrées. Cela est normal, et vous pouvez utiliser une règle d'automatisation pour supprimer ces résultats.

Si vous utilisez le script multi-comptes pour activer Security Hub, il active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources mondiales, dans toutes les régions. Vous pouvez ensuite mettre à jour la configuration pour enregistrer les ressources globales dans une seule région uniquement. Pour plus d'informations, consultez la section Sélection des ressources AWS Config enregistrées dans le Guide du AWS Config développeur.

Pour que Security Hub puisse rapporter avec précision les résultats des contrôles basés sur des AWS Config règles, vous devez activer l'enregistrement pour les ressources pertinentes. Pour obtenir la liste des contrôles et des AWS Config ressources associées, consultezAWS Configressources nécessaires pour générer des résultats de contrôle. AWS Configvous permet de choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.

Note

Pour générer de nouvelles découvertes après les contrôles de sécurité et éviter les résultats périmés, vous devez disposer d'autorisations suffisantes pour que le rôle IAM associé à l'enregistreur de configuration puisse évaluer les ressources sous-jacentes.

Considérations de coût

Pour plus de détails sur les coûts associés à l'enregistrement des ressources, consultez la section AWS Security HubTarification et AWS Configtarification.

Security Hub peut avoir un impact sur les coûts AWS Config de votre enregistreur de configuration en mettant à jour l'élément AWS::Config::ResourceCompliance de configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans la AWS Config console ouAWS CLI. Cela peut réduire vos AWS Config coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub.