Le migliori pratiche per la configurazione di Security Hub

Le seguenti best practice possono aiutarti a ottenere il massimo dall'utilizzo AWS Security Hub.

Integrazione di Security Hub e AWS Organizations

AWS Organizations è un servizio globale di gestione degli account che consente AWS amministratori per consolidare e gestire centralmente più Account AWS e unità organizzative ()OUs. Fornisce funzionalità di gestione degli account e fatturazione consolidata progettate per supportare le esigenze di budget, sicurezza e conformità. È offerto senza costi aggiuntivi e si integra con più Servizi AWS, tra cui Security Hub GuardDuty, Amazon e Amazon Macie.

Per aiutare ad automatizzare e semplificare la gestione degli account, consigliamo vivamente di integrare Security Hub e AWS Organizations. Puoi integrarti con Organizations se ne hai più di una Account AWS che utilizza Security Hub.

Per istruzioni sull'attivazione dell'integrazione, consultaIntegrazione del Security Hub con AWS Organizations.

Utilizzo della configurazione centrale

Quando integri Security Hub and Organizations, hai la possibilità di utilizzare una funzionalità chiamata configurazione centrale per configurare e gestire Security Hub per la tua organizzazione. Consigliamo vivamente di utilizzare la configurazione centrale perché consente all'amministratore di personalizzare la copertura di sicurezza per l'organizzazione. Se del caso, l'amministratore delegato può consentire a un account membro di configurare le proprie impostazioni di copertura di sicurezza.

La configurazione centrale consente all'amministratore delegato di configurare Security Hub tra gli account OUs e Regioni AWS. L'amministratore delegato configura Security Hub creando policy di configurazione. All'interno di una politica di configurazione, è possibile specificare le seguenti impostazioni:

• Se Security Hub è abilitato o disabilitato

• Quali standard di sicurezza sono abilitati e disabilitati

• Quali controlli di sicurezza sono abilitati e disabilitati

• Se personalizzare i parametri per determinati controlli

In qualità di amministratore delegato, puoi creare un'unica politica di configurazione per l'intera organizzazione o politiche di configurazione diverse per i vari account eOUs. Ad esempio, gli account di test e gli account di produzione possono utilizzare politiche di configurazione diverse.

Gli account dei membri e OUs che utilizzano una politica di configurazione sono gestiti centralmente e possono essere configurati solo dall'amministratore delegato. L'amministratore delegato può designare account membri specifici e OUs gestirli autonomamente per consentire al membro di configurare le proprie impostazioni su base regionale.

Se non si utilizza la configurazione centrale, è necessario configurare in gran parte Security Hub separatamente in ogni account e regione. Questa è chiamata configurazione locale. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.

Per ulteriori informazioni sulla configurazione centralizzata, consultaComprendere la configurazione centrale in Security Hub.

Configurazione AWS Config per Security Hub

AWS Security Hub utilizza servizi collegati AWS Config regole per eseguire controlli di sicurezza e produrre risultati per la maggior parte dei controlli. Di conseguenza, per ricevere i risultati dei controlli, AWS Config deve essere abilitato nel tuo account in ogni Regione AWS dove Security Hub è abilitato. Se il tuo account fa parte di un'organizzazione, AWS Config deve essere abilitato in ogni regione nell'account amministratore e in tutti gli account dei membri. Inoltre, quando abiliti uno standard di sicurezza, AWS Config deve essere configurato per registrare le risorse richieste per i controlli abilitati che fanno parte dello standard.

Si consiglia vivamente di attivare la registrazione delle risorse in AWS Config prima di abilitare gli standard Security Hub. Se Security Hub tenta di eseguire controlli di sicurezza quando la registrazione delle risorse è disattivata, i controlli restituiscono errori finché non si abilita AWS Config e attiva la registrazione delle risorse.

Security Hub non gestisce AWS Config per te. Se lo hai già fatto AWS Config abilitato, puoi configurarne le impostazioni tramite AWS Config console oAPIs.

Se abiliti uno standard ma non lo hai abilitato AWS Config, Security Hub tenta di creare il AWS Config regole secondo il seguente calendario:

• Il giorno in cui abiliti lo standard

• Il giorno dopo aver abilitato lo standard

• 3 giorni dopo l'attivazione dello standard

• 7 giorni dopo l'attivazione dello standard (e successivamente ogni 7 giorni consecutivi)

Se si utilizza la configurazione centrale, Security Hub tenta anche di creare AWS Config regole ogni volta che si applica una politica di configurazione che abilita uno o più standard con account, unità organizzative (OUs) o root.

Abilitazione AWS Config

Se non lo hai abilitato AWS Config puoi già abilitarlo in uno dei seguenti modi:

• Console o AWS CLI— È possibile abilitare manualmente AWS Config utilizzando il AWS Config console o AWS CLI. Vedi Guida introduttiva con AWS Config nella AWS Config Guida per gli sviluppatori.

• AWS CloudFormation modello: se si desidera abilitare AWS Config su un gran numero di account, puoi abilitare AWS Config con il CloudFormation modello Enable AWS Config. Per accedere a questo modello, vedi AWS CloudFormation StackSets modelli di esempio in AWS CloudFormation Guida per l'utente.

• Script Github: Security Hub offre uno GitHub script che abilita Security Hub per più account in diverse regioni. Questo script è utile se non ti sei integrato con Organizations o se hai account che non fanno parte della tua organizzazione. Quando si utilizza questo script per abilitare Security Hub, si attiva anche automaticamente AWS Config per questi account.

Per ulteriori informazioni sull'abilitazione AWS Config per aiutarti a eseguire i controlli di sicurezza del Security Hub, consulta Optimize AWS Config for AWS Security Hub per gestire efficacemente il tuo livello di sicurezza nel cloud.

Attivazione della registrazione delle risorse in AWS Config

Quando si attiva la registrazione delle risorse con le impostazioni predefinite, AWS Config registra tutti i tipi di risorse regionali supportate che rileva nel Regione AWS in cui è in esecuzione. Puoi anche configurare AWS Config per registrare i tipi di risorse globali supportati. È necessario registrare le risorse globali solo in una singola regione (consigliamo che questa sia la regione di origine se si utilizza la configurazione centrale).

Se si utilizza CloudFormation StackSets per abilitare AWS Config, ti consigliamo di eseguirne due diversi StackSets. Eseguine uno StackSet per registrare tutte le risorse, incluse le risorse globali, in una singola regione. Esegui un secondo StackSet per registrare tutte le risorse tranne le risorse globali in altre regioni.

È inoltre possibile utilizzare Quick Setup, una funzionalità di AWS Systems Manager, per configurare rapidamente la registrazione delle risorse in AWS Config tra i tuoi account e le tue regioni. Durante la procedura di configurazione rapida, puoi scegliere in quale regione desideri registrare le risorse globali. Per ulteriori informazioni, consulta AWS Config registratore di configurazione in AWS Systems Manager Guida per l'utente.

Il controllo di sicurezza Config.1 genera risultati non riusciti per le regioni diverse dalle regioni collegate in un aggregatore (la regione principale e le regioni che non fanno affatto parte di un aggregatore di risultati) se tale regione non registra AWS Identity and Access Management (IAM) risorse globali e ha abilitato i controlli che richiedono IAM la registrazione di risorse globali. Nelle regioni collegate, Config.1 non verifica se le risorse IAM globali sono registrate. Per un elenco delle risorse richieste da ogni controllo, vedi. AWS Config Risorse necessarie per i risultati del controllo del Security Hub

Se si utilizza lo script multi-account per abilitare Security Hub, abilita automaticamente la registrazione delle risorse per tutte le risorse, incluse le risorse globali, in tutte le regioni. È quindi possibile aggiornare la configurazione per registrare le risorse globali solo in una singola regione. Per informazioni, vedere Selezione delle risorse AWS Config record in AWS Config Guida per gli sviluppatori.

Affinché Security Hub riporti in modo accurato i risultati dei controlli che si basano su AWS Config regole, è necessario abilitare la registrazione per le risorse pertinenti. Per un elenco dei controlli e dei relativi controlli AWS Config risorse, vediAWS Config Risorse necessarie per i risultati del controllo del Security Hub.AWS Config consente di scegliere tra la registrazione continua e la registrazione giornaliera delle modifiche allo stato delle risorse. Se scegli la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati del Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.

Nota

Per generare nuovi risultati dopo i controlli di sicurezza ed evitare risultati obsoleti, è necessario disporre di autorizzazioni sufficienti per il IAM ruolo associato al registratore di configurazione per valutare le risorse sottostanti.

Considerazioni sui costi

Per informazioni sui costi associati alla registrazione delle risorse, vedere AWS Security Hub prezzi e AWS Config prezzi.

Security Hub potrebbe influire sul tuo AWS Config i costi del registratore di configurazione mediante l'aggiornamento dell'elemento AWS::Config::ResourceCompliance di configurazione. Gli aggiornamenti possono verificarsi ogni volta che un controllo Security Hub è associato a un AWS Config la regola modifica lo stato di conformità, è abilitata o disabilitata o presenta aggiornamenti dei parametri. Se utilizzi il plugin AWS Config registratore di configurazione solo per Security Hub e non utilizzare questo elemento di configurazione per altri scopi, consigliamo di disattivarne la registrazione nel AWS Config console o AWS CLI. Questo può ridurre il tuo AWS Config costi. Non è necessario registrarsi AWS::Config::ResourceCompliance per far funzionare i controlli di sicurezza in Security Hub.