Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub - AWS Security Hub
Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS ConfigMerekam sumber daya di AWS ConfigCara untuk mengaktifkan dan mengkonfigurasi AWS ConfigKontrol Config.1Menghasilkan aturan terkait layananPertimbangan biaya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub

AWS Security Hub menggunakan AWS Config aturan untuk menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk sebagian besar kontrol. AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini menggunakan aturan untuk membuat konfigurasi dasar untuk sumber daya Anda dan perekam konfigurasi untuk mendeteksi apakah sumber daya tertentu melanggar ketentuan aturan. Beberapa aturan, yang disebut aturan AWS Config terkelola, telah ditentukan dan dikembangkan oleh AWS Config. Aturan lainnya adalah aturan AWS Config khusus yang dikembangkan Security Hub.

AWS Config aturan yang digunakan Security Hub untuk kontrol disebut sebagai aturan terkait layanan. Aturan terkait layanan memungkinkan Layanan AWS seperti Security Hub untuk membuat AWS Config aturan di akun Anda.

Untuk menerima temuan kontrol di Security Hub, Anda harus mengaktifkan AWS Config di akun dan mengaktifkan rekaman untuk sumber daya yang dievaluasi oleh kontrol yang diaktifkan.

Halaman ini menjelaskan cara mengaktifkan AWS Config Security Hub dan mengaktifkan perekaman sumber daya.

Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config

Untuk menerima temuan kontrol di Security Hub, akun Anda harus AWS Config diaktifkan di setiap Wilayah AWS tempat Security Hub diaktifkan. Jika Anda menggunakan Security Hub untuk lingkungan multi-akun, AWS Config harus diaktifkan di setiap Wilayah di akun administrator dan semua akun anggota.

Kami sangat menyarankan agar Anda mengaktifkan perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar dan kontrol Security Hub apa pun. Ini membantu Anda memastikan bahwa temuan kontrol Anda akurat.

Untuk mengaktifkan perekaman sumber daya AWS Config, Anda harus memiliki izin yang cukup untuk merekam sumber daya dalam peran AWS Identity and Access Management (IAM) yang dilampirkan ke perekam konfigurasi. Selain itu, pastikan tidak ada IAM kebijakan atau kebijakan yang dikelola AWS Organizations yang AWS Config mencegah izin untuk merekam sumber daya Anda. Pemeriksaan kontrol Security Hub secara langsung mengevaluasi konfigurasi sumber daya dan tidak mempertimbangkan kebijakan Organizations. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat Daftar Aturan AWS Config Terkelola — Pertimbangan dalam Panduan AWS Config Pengembang.

Jika Anda mengaktifkan standar di Security Hub tetapi belum diaktifkan AWS Config, Security Hub mencoba membuat AWS Config aturan sesuai dengan jadwal berikut:

  • Pada hari Anda mengaktifkan standar

  • Sehari setelah Anda mengaktifkan standar

  • 3 hari setelah Anda mengaktifkan standar

  • 7 hari setelah Anda mengaktifkan standar (dan terus menerus setiap 7 hari setelahnya)

Jika Anda menggunakan konfigurasi pusat, Security Hub juga mencoba membuat aturan AWS Config terkait layanan setiap kali Anda mengaitkan kebijakan konfigurasi yang memungkinkan satu atau beberapa standar dengan akun, unit organisasi (OUs), atau root.

Merekam sumber daya di AWS Config

Saat mengaktifkan AWS Config, Anda harus menentukan AWS sumber daya mana yang ingin direkam oleh perekam AWS Config konfigurasi. Melalui aturan terkait layanan, perekam konfigurasi memungkinkan Security Hub mendeteksi perubahan dalam konfigurasi sumber daya Anda.

Agar Security Hub menghasilkan temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config untuk sumber daya yang sesuai dengan kontrol yang diaktifkan. Ini terutama mengaktifkan kontrol dengan jenis jadwal yang dipicu perubahan yang memerlukan perekaman sumber daya. Untuk daftar kontrol dan AWS Config sumber daya terkait, lihatAWS Config Sumber daya yang diperlukan untuk temuan kontrol Security Hub.

Awas

Jika Anda tidak mengonfigurasi AWS Config perekaman untuk kontrol Security Hub dengan benar, ini dapat menghasilkan temuan kontrol yang tidak akurat, terutama dalam kasus berikut:

  • Anda tidak pernah merekam sumber daya untuk kontrol tertentu, menonaktifkan perekaman sumber daya sebelum membuat jenis sumber daya tersebut, atau melampirkan IAM peran ke perekam konfigurasi yang tidak memberikan izin untuk merekam sumber daya. Dalam kasus ini, Anda menerima PASSED temuan untuk kontrol yang dipermasalahkan, meskipun Anda mungkin telah membuat sumber daya dalam lingkup kontrol setelah Anda menonaktifkan perekaman. PASSEDTemuan ini adalah temuan default yang tidak benar-benar mengevaluasi status konfigurasi sumber daya.

  • Anda menonaktifkan perekaman sumber daya yang dievaluasi oleh kontrol tertentu. Dalam hal ini, Security Hub mempertahankan temuan kontrol yang dihasilkan sebelum Anda menonaktifkan perekaman, meskipun kontrol tidak mengevaluasi sumber daya baru atau yang diperbarui. Temuan yang dipertahankan ini mungkin tidak secara akurat mencerminkan status konfigurasi sumber daya saat ini.

Secara default AWS Config mencatat semua sumber daya Regional yang didukung yang ditemukan Wilayah AWS di mana ia berjalan. Untuk menerima semua temuan kontrol Security Hub, Anda juga harus mengonfigurasi AWS Config untuk merekam sumber daya global. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, Wilayah ini harus menjadi Wilayah asal Anda.

Di AWS Config, Anda dapat memilih antara perekaman berkelanjutan dan perekaman harian perubahan status sumber daya. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.

Untuk informasi selengkapnya tentang AWS Config perekaman, lihat Merekam AWS sumber daya di Panduan AWS Config Pengembang.

Cara untuk mengaktifkan dan mengkonfigurasi AWS Config

Anda dapat mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya dengan salah satu cara berikut:

  • AWS Config konsol — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Config konsol. Untuk petunjuk, lihat Menyiapkan AWS Config dengan konsol di Panduan AWS Config Pengembang.

  • AWS CLI atau SDKs — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat Menyiapkan AWS Config dengan Panduan AWS Config Pengembang AWS CLI di Panduan Pengembang. AWS kit pengembangan perangkat lunak (SDKs) juga tersedia untuk banyak bahasa pemrograman.

  • CloudFormation template — Jika Anda ingin mengaktifkan AWS Config untuk sejumlah besar akun, kami sarankan menggunakan AWS CloudFormation template bernama Enable AWS Config. Untuk mengakses template ini, lihat AWS CloudFormation StackSets contoh template di Panduan AWS CloudFormation Pengguna.

    Secara default, template ini tidak termasuk rekaman untuk sumber daya IAM global. Pastikan Anda mengaktifkan perekaman untuk sumber daya IAM global di satu Wilayah hanya untuk menghemat biaya pencatatan. Jika Anda mengaktifkan agregasi lintas wilayah, ini harus menjadi Region beranda Security Hub Anda. Jika tidak, dapat berupa Security Hub Wilayah AWS yang tersedia yang mendukung perekaman sumber daya IAM global. Kami merekomendasikan menjalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya IAM global, di Wilayah asal atau Wilayah terpilih lainnya. Kemudian, jalankan sedetik StackSet untuk merekam semua sumber daya kecuali sumber daya IAM global di Wilayah lain.

  • Skrip Github — Security Hub menawarkan GitHub skrip yang memungkinkan Security Hub dan AWS Config untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi dengan Organizations atau jika Anda memiliki beberapa akun anggota yang bukan bagian dari organisasi.

Untuk informasi selengkapnya, lihat Optimalkan AWS ConfigAWS Security Hub untuk mengelola postur keamanan cloud Anda secara efektif.

Kontrol Config.1

Kontrol Security Hub Config.1 menghasilkan FAILED temuan di akun Anda jika AWS Config dinonaktifkan atau jika rekaman sumber daya tidak diaktifkan untuk kontrol yang diaktifkan. Jika Anda adalah administrator Security Hub yang didelegasikan untuk suatu organisasi, AWS Config rekaman harus dikonfigurasi dengan benar di akun dan akun anggota Anda. Jika Anda menggunakan agregasi lintas wilayah, AWS Config perekaman harus dikonfigurasi dengan benar di Wilayah asal dan semua Wilayah yang ditautkan (Sumber daya global tidak perlu direkam di Wilayah tertaut).

Untuk menerima PASSED temuan untuk Config.1, aktifkan perekaman sumber daya untuk semua sumber daya yang sesuai dengan kontrol Security Hub yang diaktifkan, dan nonaktifkan kontrol yang tidak diperlukan di organisasi Anda. Ini membantu memastikan Anda tidak memiliki celah konfigurasi dalam pemeriksaan kontrol keamanan Anda dan menerima temuan akurat tentang sumber daya yang salah dikonfigurasi.

Menghasilkan aturan terkait layanan

Untuk setiap kontrol yang menggunakan aturan AWS Config terkait layanan, Security Hub membuat instance aturan yang diperlukan di lingkungan Anda. AWS

Aturan terkait layanan ini khusus untuk Security Hub. Security Hub membuat aturan terkait layanan ini meskipun instance lain dari aturan yang sama sudah ada. Aturan terkait layanan ditambahkan securityhub sebelum nama aturan asli dan pengidentifikasi unik setelah nama aturan. Misalnya, untuk aturan AWS Config terkelolavpc-flow-logs-enabled, nama aturan terkait layanan akan menjadi sesuatu seperti. securityhub-vpc-flow-logs-enabled-12345

Ada batasan jumlah aturan AWS Config terkelola yang dapat digunakan untuk mengevaluasi kontrol. AWS Config Aturan khusus yang dibuat Security Hub tidak diperhitungkan dalam batas tersebut. Anda dapat mengaktifkan standar keamanan meskipun Anda telah mencapai AWS Config batas untuk aturan terkelola di akun Anda. Untuk mempelajari lebih lanjut tentang batasan AWS Config aturan, lihat Batas layanan AWS Config di Panduan AWS Config Pengembang.

Pertimbangan biaya

Security Hub dapat memengaruhi biaya perekam AWS Config konfigurasi Anda dengan memperbarui item AWS::Config::ResourceCompliance konfigurasi. Pembaruan dapat terjadi setiap kali kontrol Security Hub yang terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan perekam AWS Config konfigurasi hanya untuk Security Hub, dan tidak menggunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu AWS Config. Ini dapat mengurangi AWS Config biaya Anda. Anda tidak perlu merekam pemeriksaan keamanan AWS::Config::ResourceCompliance agar berfungsi di Security Hub.

Untuk informasi tentang biaya yang terkait dengan pencatatan sumber daya, lihat AWS Security Hub harga dan AWS Config harga.