Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti e raccomandazioni
I seguenti prerequisiti e consigli possono aiutarti a iniziare a utilizzare. AWS Security Hub
Integrazione con AWS Organizations
AWS Organizations è un servizio globale di gestione degli account che consente AWS agli amministratori di consolidare e gestire centralmente più Account AWS unità organizzative (OU). Fornisce funzionalità di gestione degli account e fatturazione consolidata progettate per supportare le esigenze di budget, sicurezza e conformità. È offerto senza costi aggiuntivi e si integra con più piattaforme Servizi AWS, tra cui Security Hub GuardDuty, Amazon e Amazon Macie.
Per aiutare ad automatizzare e semplificare la gestione degli account, consigliamo vivamente di integrare Security Hub e. AWS OrganizationsPuoi effettuare l'integrazione con Organizations se ne hai più di una Account AWS che utilizza Security Hub.
Per istruzioni sull'attivazione dell'integrazione, consultaIntegrazione del Security Hub con AWS Organizations.
Utilizzo della configurazione centrale
Quando integri Security Hub and Organizations, hai la possibilità di utilizzare una funzionalità chiamata configurazione centrale per configurare e gestire Security Hub per la tua organizzazione. Consigliamo vivamente di utilizzare la configurazione centrale perché consente all'amministratore di personalizzare la copertura di sicurezza per l'organizzazione. Se del caso, l'amministratore delegato può consentire a un account membro di configurare le proprie impostazioni di copertura di sicurezza.
La configurazione centrale consente all'amministratore delegato di configurare Security Hub tra account, unità organizzative e regioni. L'amministratore delegato configura Security Hub creando policy di configurazione. All'interno di una politica di configurazione, è possibile specificare le seguenti impostazioni:
Se Security Hub è abilitato o disabilitato
Quali standard di sicurezza sono abilitati e disabilitati
Quali controlli di sicurezza sono abilitati e disabilitati
Se personalizzare i parametri per determinati controlli
In qualità di amministratore delegato, puoi creare un'unica politica di configurazione per l'intera organizzazione o politiche di configurazione diverse per i vari account e unità organizzative. Ad esempio, gli account di test e gli account di produzione possono utilizzare politiche di configurazione diverse.
Gli account dei membri e le unità organizzative che utilizzano una politica di configurazione sono gestiti centralmente e possono essere configurati solo dall'amministratore delegato. L'amministratore delegato può designare account membri e unità organizzative specifici come autogestiti per dare al membro la possibilità di configurare le proprie impostazioni su base regionale.
Per ulteriori informazioni sulla configurazione centrale, consulta. Configurazione centrale in Security Hub
Configurazione AWS Config
AWS Security Hub utilizza AWS Config regole collegate ai servizi per eseguire controlli di sicurezza per la maggior parte dei controlli.
Per supportare questi controlli, AWS Config deve essere abilitato su tutti gli account, sia l'account amministratore che gli account membro, in tutti gli account in cui Regione AWS Security Hub è abilitato. Inoltre, per ogni standard abilitato AWS Config deve essere configurato in modo da registrare le risorse necessarie per i controlli abilitati.
Ti consigliamo di attivare la registrazione delle risorse AWS Config prima di abilitare gli standard Security Hub. Se Security Hub tenta di eseguire controlli di sicurezza quando la registrazione delle risorse è disattivata, i controlli restituiscono errori.
Security Hub non gestisce AWS Config per te. Se l'hai già AWS Config abilitato, puoi configurarne le impostazioni tramite la AWS Config console o le API.
Se abiliti uno standard ma non lo hai abilitato AWS Config, Security Hub tenta di creare le AWS Config regole secondo la seguente pianificazione:
-
Il giorno in cui abiliti lo standard
-
Il giorno dopo aver abilitato lo standard
-
3 giorni dopo l'attivazione dello standard
-
7 giorni dopo l'attivazione dello standard (e successivamente ogni 7 giorni consecutivi)
Se si utilizza la configurazione centrale, Security Hub tenta anche di creare le AWS Config regole quando si riapplica una politica di configurazione che abilita uno o più standard.
Abilitazione AWS Config
Se non l'hai AWS Config già abilitato, puoi abilitarlo in uno dei seguenti modi:
-
Console o AWS CLI: è possibile abilitare manualmente AWS Config utilizzando la AWS Config console o AWS CLI. Vedi Guida introduttiva AWS Config nella Guida per gliAWS Config sviluppatori.
-
AWS CloudFormation modello: se desideri abilitarlo AWS Config su un numero elevato di account, puoi abilitarlo AWS Config con il CloudFormation modello Enable AWS Config. Per accedere a questo modello, consulta i modelli diAWS CloudFormation StackSets esempio nella GuidaAWS CloudFormation per l'utente.
-
Script Github: Security Hub offre uno GitHub script
che abilita Security Hub per più account in diverse regioni. Questo script è utile se non ti sei integrato con Organizations o se hai account che non fanno parte della tua organizzazione. Quando si utilizza questo script per abilitare Security Hub, vengono attivati automaticamente anche questi account. AWS Config
Per ulteriori informazioni sull'abilitazione per aiutarti AWS Config a eseguire i controlli di sicurezza del Security Hub, consulta Ottimizza AWS ConfigAWS Security Hub per gestire efficacemente la tua posizione di sicurezza sul cloud
Attivazione della registrazione delle risorse in AWS Config
Quando si attiva la registrazione delle risorse AWS Config con le impostazioni predefinite, vengono registrati tutti i tipi di risorse regionali supportati presenti AWS Config nel sistema Regione AWS in cui è in esecuzione. È inoltre possibile AWS Config configurare la registrazione dei tipi di risorse globali supportati. Devi registrare le risorse globali solo in una singola regione (consigliamo che questa sia la tua regione di origine se utilizzi la configurazione centrale).
Se utilizzi CloudFormation StackSets to enable AWS Config, ti consigliamo di eseguirne due diverse StackSets. Eseguine uno StackSet per registrare tutte le risorse, incluse le risorse globali, in una singola regione. Esegui un secondo StackSet per registrare tutte le risorse tranne le risorse globali in altre regioni.
Puoi anche utilizzare Quick Setup, una funzionalità di AWS Systems Manager, per configurare rapidamente la registrazione delle risorse AWS Config tra i tuoi account e le tue regioni. Durante il processo di configurazione rapida, puoi scegliere in quale regione desideri registrare le risorse globali. Per ulteriori informazioni, consultate il registratore diAWS Config configurazione nella Guida per l'AWS Systems Manager utente.
Il controllo di sicurezza Config.1 genererà risultati non riusciti nelle regioni in cui le risorse globali non sono registrate. Questo è previsto ed è possibile utilizzare una regola di automazione per eliminare questi risultati.
Se si utilizza lo script multi-account per abilitare Security Hub, abilita automaticamente la registrazione delle risorse per tutte le risorse, incluse le risorse globali, in tutte le regioni. È quindi possibile aggiornare la configurazione per registrare le risorse globali solo in una singola regione. Per informazioni, consulta Selezione delle risorse da AWS Config registrare nella Guida per gliAWS Config sviluppatori.
Affinché Security Hub riporti in modo accurato i risultati dei controlli che si basano su AWS Config regole, è necessario abilitare la registrazione per le risorse pertinenti. Per un elenco dei controlli e AWS Config delle relative risorse, vedereAWS Config risorse necessarie per generare i risultati del controllo.AWS Config consente di scegliere tra la registrazione continua e la registrazione giornaliera delle modifiche allo stato delle risorse. Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati del Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.
Nota
Per generare nuovi risultati dopo i controlli di sicurezza ed evitare risultati obsoleti, è necessario disporre di autorizzazioni sufficienti per il ruolo IAM collegato al registratore di configurazione per valutare le risorse sottostanti.
Considerazioni sui costi
Per informazioni dettagliate sui costi associati alla registrazione delle risorse, consulta AWS Security Hub prezzi e prezzi
Security Hub può influire sui costi AWS Config del registratore di configurazione aggiornando l'elemento AWS::Config::ResourceCompliance di configurazione. Gli aggiornamenti possono verificarsi ogni volta che un controllo Security Hub associato a una AWS Config regola modifica lo stato di conformità, viene abilitato o disabilitato o presenta aggiornamenti dei parametri. Se utilizzi il registratore di AWS Config configurazione solo per Security Hub e non utilizzi questo elemento di configurazione per altri scopi, ti consigliamo di disattivarne la registrazione nella AWS Config console o AWS CLI. Questo può ridurre i AWS Config
costi. Non è necessario registrarsi perché i controlli AWS::Config::ResourceCompliance di sicurezza funzionino in Security Hub.
