Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli consigliati da disabilitare in Security Hub
Ti consigliamo di disabilitarne alcuni AWS Security Hub controlli per ridurre il rumore di rilevamento e limitare i costi.
Controlli che utilizzano risorse globali
Medio Servizi AWS supporta le risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sul costo di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.
Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:
Tutti i CloudFront controlli: disponibili solo negli Stati Uniti orientali (Virginia settentrionale)
GlobalAccelerator.1 — Disponibile solo negli Stati Uniti occidentali (Oregon)
Route53.2 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)
WAF.1, WAF .6, WAF .7 e WAF .8 — Disponibile solo negli Stati Uniti orientali (Virginia settentrionale)
Nota
Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare il AWS Config impostazioni del registratore e disattivazione della registrazione globale delle risorse in tutte le regioni tranne la regione di origine. Quando si utilizza la configurazione centrale, non è disponibile la copertura necessaria per un controllo che non è disponibile nella regione di origine o in nessuna delle regioni collegate. Per ulteriori informazioni sulla configurazione centrale, consultaComprendere la configurazione centrale in Security Hub.
Per i controlli con un tipo di pianificazione periodica, è necessario disabilitarli in Security Hub per impedire la fatturazione. Impostazione del AWS Config il parametro includeGlobalResourceTypes
to false
non influisce sui controlli periodici del Security Hub.
Di seguito è riportato un elenco di controlli del Security Hub che utilizzano risorse globali:
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione
-
CloudFront Le distribuzioni [CloudFront.1] devono avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF
-
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»
-
[IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM
-
[IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere
-
[IAM.6] L'hardware MFA deve essere abilitato per l'utente root
-
[IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide
-
[IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo
-
[IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero
-
[IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password
-
[IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM
-
[IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess
-
[IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato
-
[Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS
-
[WAF.1] AWS WAF La ACL registrazione Web globale classica deve essere abilitata
-
[WAF.6] AWS WAF Le regole globali classiche devono avere almeno una condizione
-
[WAF.7] AWS WAF I gruppi di regole globali classici dovrebbero avere almeno una regola
-
[WAF.8] AWS WAF Il Web globale classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF il web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] AWS WAF la ACL registrazione web dovrebbe essere abilitata
CloudTrail controlli di registrazione
Questo controllo si occupa dell'utilizzo AWS Key Management Service (AWS KMS) per crittografare AWS CloudTrail registri delle tracce. Se si registrano questi percorsi in un account di registrazione centralizzato, è sufficiente abilitare questo controllo nell'account e nella regione in cui avviene la registrazione centralizzata.
Nota
Se si utilizza la configurazione centrale, lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, sopprimi i risultati dei seguenti controlli per ridurre i disturbi rilevati.
CloudWatch allarmi e controlli
Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare questi controlli, che si concentrano sugli CloudWatch allarmi.