Controlli consigliati da disabilitare in Security Hub

Ti consigliamo di disabilitarne alcuni AWS Security Hub controlli per ridurre il rumore di rilevamento e limitare i costi.

Controlli che utilizzano risorse globali

Medio Servizi AWS supporta le risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sul costo di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.

Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:

• Tutti i CloudFront controlli: disponibili solo negli Stati Uniti orientali (Virginia settentrionale)

• GlobalAccelerator.1 — Disponibile solo negli Stati Uniti occidentali (Oregon)

• Route53.2 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)

• WAF.1, WAF .6, WAF .7 e WAF .8 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)

Nota

Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare il AWS Config impostazioni del registratore e disattivazione della registrazione globale delle risorse in tutte le regioni tranne la regione di origine. Quando si utilizza la configurazione centrale, non è disponibile la copertura necessaria per un controllo che non è disponibile nella regione di origine o in nessuna delle regioni collegate. Per ulteriori informazioni sulla configurazione centrale, consultaComprendere la configurazione centrale in Security Hub.

Per i controlli con un tipo di pianificazione periodica, è necessario disabilitarli in Security Hub per impedire la fatturazione. Impostazione del AWS Config il parametro includeGlobalResourceTypes to false non influisce sui controlli periodici del Security Hub.

Di seguito è riportato un elenco di controlli del Security Hub che utilizzano risorse globali:

• [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• CloudFront Le distribuzioni [CloudFront.1] devono avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password per la console

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.10] Le politiche relative alle password per IAM gli utenti devono essere rigorose AWS Config 2 durate

• [IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola

• [IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola

• [IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo

• [IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero

• [IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14

• [IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password

• [IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [WAF.1] AWS WAF La ACL registrazione Web globale classica deve essere abilitata

• [WAF.6] AWS WAF Le regole globali classiche devono avere almeno una condizione

• [WAF.7] AWS WAF I gruppi di regole globali classici dovrebbero avere almeno una regola

• [WAF.8] AWS WAF Il Web globale classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF il web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] AWS WAF la ACL registrazione web dovrebbe essere abilitata

CloudTrail controlli di registrazione

Questo controllo si occupa dell'utilizzo AWS Key Management Service (AWS KMS) per crittografare AWS CloudTrail registri delle tracce. Se si registrano questi percorsi in un account di registrazione centralizzato, è sufficiente abilitare questo controllo nell'account e nella regione in cui avviene la registrazione centralizzata.

Nota

Se si utilizza la configurazione centrale, lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, sopprimi i risultati dei seguenti controlli per ridurre i disturbi rilevati.

• [CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

CloudWatch allarmi e controlli

Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare questi controlli, che si concentrano sugli CloudWatch allarmi.

• [CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

• [CloudWatch.2] Assicurati che esistano un filtro metrico di registro e un allarme per le chiamate non autorizzate API

• [CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla Console di gestione senza MFA

• [CloudWatch.4] Assicurati che esistano un filtro metrico di registro e un allarme per le IAM modifiche alle politiche

• [CloudWatch.5] Assicurati che esistano un filtro logmetrico e un allarme per CloudTrail AWS Config Modifiche alla durata

• [CloudWatch.6] Assicurati che esistano un filtro logmetrico e un allarme per AWS Management Console errori di autenticazione

• [CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione programmata delle chiavi gestite dal cliente

• [CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

• [CloudWatch.9] Assicurati che esistano un filtro logmetrico e un allarme per AWS Config modifiche alla configurazione

• [CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

• [CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche agli elenchi di controllo degli accessi alla rete () NACL

• [CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

• [CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

• [CloudWatch.14] Assicurati che esistano un filtro logmetrico e un allarme per le modifiche VPC