Rekomendasi sebelum mengaktifkan Security Hub - AWS Security Hub
Integrasi dengan AWS OrganizationsMenggunakan konfigurasi pusatMengkonfigurasi AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Rekomendasi sebelum mengaktifkan Security Hub

Rekomendasi berikut dapat membantu Anda memulai penggunaan AWS Security Hub.

Integrasi dengan AWS Organizations

AWS Organizations adalah layanan manajemen akun global yang memungkinkan AWS administrator untuk mengkonsolidasikan dan mengelola beberapa Akun AWS unit organisasi (OU) secara terpusat. Ini menyediakan manajemen akun dan fitur penagihan terkonsolidasi yang dirancang untuk mendukung kebutuhan anggaran, keamanan, dan kepatuhan. Ini ditawarkan tanpa biaya tambahan dan terintegrasi dengan beberapa Layanan AWS, termasuk Security Hub, Amazon GuardDuty, dan Amazon Macie.

Untuk membantu mengotomatisasi dan merampingkan pengelolaan akun, kami sangat menyarankan untuk mengintegrasikan Security Hub dan. AWS Organizations Anda dapat berintegrasi dengan Organizations jika Anda memiliki lebih dari satu Akun AWS yang menggunakan Security Hub.

Untuk petunjuk tentang mengaktifkan integrasi, lihatMengintegrasikan Security Hub dengan AWS Organizations.

Menggunakan konfigurasi pusat

Saat mengintegrasikan Security Hub dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut konfigurasi pusat untuk menyiapkan dan mengelola Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi Security Hub di seluruh akun, OU, dan Wilayah AWS. Administrator yang didelegasikan mengonfigurasi Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:

  • Apakah Security Hub diaktifkan atau dinonaktifkan

  • Standar keamanan mana yang diaktifkan dan dinonaktifkan

  • Kontrol keamanan mana yang diaktifkan dan dinonaktifkan

  • Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun dan OU Anda. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OU yang menggunakan kebijakan konfigurasi dikelola secara terpusat dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OU sebagai yang dikelola sendiri untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan Region-by-Region.

Untuk mempelajari lebih lanjut tentang konfigurasi pusat, lihatCara kerja konfigurasi pusat.

Mengkonfigurasi AWS Config

AWS Security Hub menggunakan AWS Config aturan terkait layanan untuk melakukan pemeriksaan keamanan untuk sebagian besar kontrol.

Untuk mendukung kontrol ini, AWS Config harus diaktifkan di semua akun—baik akun administrator maupun akun anggota—di masing-masing tempat Wilayah AWS Security Hub diaktifkan. Selain itu, untuk setiap standar yang diaktifkan AWS Config harus dikonfigurasi untuk merekam sumber daya yang diperlukan untuk kontrol yang diaktifkan.

Sebaiknya aktifkan perekaman sumber daya AWS Config sebelum mengaktifkan standar Security Hub. Jika Security Hub mencoba menjalankan pemeriksaan keamanan saat perekaman sumber daya dimatikan, pemeriksaan akan mengembalikan kesalahan.

Security Hub tidak mengelola AWS Config untuk Anda. Jika Anda sudah AWS Config mengaktifkan, Anda dapat mengonfigurasi pengaturannya melalui AWS Config konsol atau API.

Jika Anda mengaktifkan standar tetapi belum diaktifkan AWS Config, Security Hub mencoba membuat AWS Config aturan sesuai dengan jadwal berikut:

  • Pada hari Anda mengaktifkan standar

  • Sehari setelah Anda mengaktifkan standar

  • 3 hari setelah Anda mengaktifkan standar

  • 7 hari setelah Anda mengaktifkan standar (dan terus menerus setiap 7 hari setelahnya)

Jika Anda menggunakan konfigurasi pusat, Security Hub juga mencoba membuat AWS Config aturan saat Anda menerapkan kembali kebijakan konfigurasi yang mengaktifkan satu atau beberapa standar.

Mengaktifkan AWS Config

Jika Anda belum AWS Config mengaktifkannya, Anda dapat mengaktifkannya dengan salah satu cara berikut:

  • Konsol atau AWS CLI — Anda dapat mengaktifkan secara manual AWS Config menggunakan AWS Config konsol atau AWS CLI. Lihat Memulai AWS Config di Panduan AWS Config Pengembang.

  • AWS CloudFormation template — Jika Anda ingin mengaktifkan AWS Config pada sejumlah besar akun, Anda dapat mengaktifkan AWS Config dengan CloudFormation template Aktifkan AWS Config. Untuk mengakses template ini, lihat AWS CloudFormation StackSets contoh template di Panduan AWS CloudFormation Pengguna.

  • Skrip Github — Security Hub menawarkan GitHub skrip yang memungkinkan Security Hub untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi dengan Organizations atau jika Anda memiliki akun yang bukan bagian dari organisasi Anda. Ketika Anda menggunakan skrip ini untuk mengaktifkan Security Hub, itu juga secara otomatis mengaktifkan AWS Config akun-akun ini.

Untuk informasi selengkapnya tentang mengaktifkan AWS Config untuk membantu Anda menjalankan pemeriksaan keamanan Security Hub, lihat Optimalkan AWS ConfigAWS Security Hub untuk mengelola postur keamanan cloud Anda secara efektif.

Mengaktifkan perekaman sumber daya di AWS Config

Ketika Anda mengaktifkan perekaman sumber daya AWS Config dengan pengaturan default, itu merekam semua jenis sumber daya Regional yang didukung yang AWS Config menemukan Wilayah AWS di mana ia berjalan. Anda juga dapat mengonfigurasi AWS Config untuk merekam jenis sumber daya global yang didukung. Anda hanya perlu merekam sumber daya global di satu Wilayah (kami sarankan ini menjadi Wilayah asal Anda jika Anda menggunakan konfigurasi pusat).

Jika Anda menggunakan CloudFormation StackSets untuk mengaktifkan AWS Config, kami sarankan Anda menjalankan dua yang berbeda StackSets. Jalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya global, dalam satu Wilayah. Jalankan sedetik StackSet untuk merekam semua sumber daya kecuali sumber daya global di Wilayah lain.

Anda juga dapat menggunakan Quick Setup, kemampuan AWS Systems Manager, untuk mengonfigurasi perekaman sumber daya dengan cepat di AWS Config seluruh akun dan Wilayah Anda. Selama proses Quick Setup, Anda dapat memilih Wilayah mana yang ingin Anda rekam sumber daya global. Untuk informasi selengkapnya, lihat perekam AWS Config konfigurasi di Panduan AWS Systems Manager Pengguna.

Kontrol keamanan Config.1 menghasilkan temuan yang gagal untuk Wilayah selain Wilayah tertaut dalam agregator (Wilayah dan Wilayah asal tidak berada dalam agregator temuan sama sekali) jika Wilayah tersebut tidak merekam sumber daya global AWS Identity and Access Management (IAM) dan telah mengaktifkan kontrol yang memerlukan sumber daya global IAM untuk direkam. Di Wilayah tertaut, Config.1 tidak memeriksa apakah sumber daya global IAM direkam. Untuk daftar sumber daya yang dibutuhkan setiap kontrol, lihatAWS Config sumber daya yang dibutuhkan untuk menghasilkan temuan kontrol.

Jika Anda menggunakan skrip multi-akun untuk mengaktifkan Security Hub, secara otomatis mengaktifkan perekaman sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Anda kemudian dapat memperbarui konfigurasi untuk merekam sumber daya global hanya dalam satu Wilayah. Untuk selengkapnya, lihat Memilih sumber daya yang AWS Config direkam dalam Panduan AWS Config Pengembang.

Agar Security Hub dapat secara akurat melaporkan temuan untuk kontrol yang bergantung pada AWS Config aturan, Anda harus mengaktifkan perekaman untuk sumber daya yang relevan. Untuk daftar kontrol dan AWS Config sumber daya terkait, lihatAWS Config sumber daya yang dibutuhkan untuk menghasilkan temuan kontrol.AWS Config memungkinkan Anda memilih antara perekaman berkelanjutan dan perekaman harian perubahan status sumber daya. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Ini dapat menunda pembuatan temuan Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.

catatan

Untuk menghasilkan temuan baru setelah pemeriksaan keamanan dan menghindari temuan basi, Anda harus memiliki izin yang cukup untuk peran IAM yang dilampirkan ke perekam konfigurasi untuk mengevaluasi sumber daya yang mendasarinya.

Pertimbangan biaya

Untuk detail tentang biaya yang terkait dengan pencatatan sumber daya, lihat AWS Security Hub harga dan AWS Config harga.

Security Hub dapat memengaruhi biaya perekam AWS Config konfigurasi Anda dengan memperbarui item AWS::Config::ResourceCompliance konfigurasi. Pembaruan dapat terjadi setiap kali kontrol Security Hub yang terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan perekam AWS Config konfigurasi hanya untuk Security Hub, dan tidak menggunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu di AWS Config konsol atau AWS CLI. Ini dapat mengurangi AWS Config biaya Anda. Anda tidak perlu merekam pemeriksaan keamanan AWS::Config::ResourceCompliance agar berfungsi di Security Hub.