Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Abilitazione e configurazione AWS Config per Security Hub

PDF
RSS
Modalità Focus
Abilitazione e configurazione AWS Config per Security Hub - AWS Security Hub
Considerazioni prima dell'attivazione e della configurazione AWS ConfigRegistrazione delle risorse in AWS ConfigModi per abilitare e configurare AWS ConfigControllo Config.1Generazione delle regole legate ai serviziConsiderazioni sui costi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Security Hub utilizza AWS Config regole per eseguire controlli di sicurezza e generare risultati per la maggior parte dei controlli. AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse del tuo Account AWS. Utilizza regole per stabilire una configurazione di base per le risorse e un registratore di configurazione per rilevare se una particolare risorsa viola le condizioni di una regola. Alcune regole, denominate regole AWS Config gestite, sono predefinite e sviluppate da. AWS Config Altre regole sono regole AWS Config personalizzate sviluppate da Security Hub.

AWS Config le regole utilizzate da Security Hub per i controlli sono denominate regole collegate ai servizi. Le regole collegate ai servizi consentono, Servizi AWS ad esempio a Security Hub, di creare AWS Config regole nell'account.

Per ricevere i risultati dei controlli in Security Hub, devi abilitarli AWS Config nel tuo account e attivare la registrazione delle risorse valutate dai controlli abilitati. Questa pagina spiega come abilitare AWS Config Security Hub e attivare la registrazione delle risorse.

Considerazioni prima dell'attivazione e della configurazione AWS Config

Per ricevere i risultati del controllo in Security Hub, il tuo account deve essere AWS Config abilitato in tutti i paesi in Regione AWS cui è abilitato Security Hub. Se si utilizza Security Hub per un ambiente con più account, AWS Config deve essere abilitato in ogni regione per l'account amministratore e tutti gli account dei membri.

Ti consigliamo vivamente di attivare la registrazione delle risorse AWS Config prima di abilitare gli standard e i controlli del Security Hub. Questo ti aiuta a garantire che i risultati dei controlli siano accurati.

Per attivare la registrazione delle risorse AWS Config, è necessario disporre di autorizzazioni sufficienti per registrare le risorse nel ruolo AWS Identity and Access Management (IAM) collegato al registratore di configurazione. Inoltre, assicurati che non esista alcuna politica IAM o gestita AWS Organizations che AWS Config impedisca di avere l'autorizzazione a registrare le tue risorse. I controlli di controllo del Security Hub valutano direttamente la configurazione di una risorsa e non tengono conto delle AWS Organizations politiche. Per ulteriori informazioni sulla AWS Config registrazione, consulta Lavorare con il registratore di configurazione nella Guida per gli AWS Config sviluppatori.

Se abiliti uno standard in Security Hub ma non lo hai abilitato AWS Config, Security Hub tenta di creare AWS Config regole secondo la seguente pianificazione:

  • Il giorno in cui abiliti lo standard.

  • Il giorno dopo aver abilitato lo standard.

  • 3 giorni dopo l'attivazione dello standard.

  • 7 giorni dopo l'attivazione dello standard e successivamente ogni 7 giorni in modo continuativo.

Se si utilizza la configurazione centrale, Security Hub tenta anche di creare AWS Config regole collegate ai servizi ogni volta che si associa una politica di configurazione che abilita uno o più standard agli account, alle unità organizzative (OUs) o alla radice.

Registrazione delle risorse in AWS Config

Quando si abilita AWS Config, è necessario specificare quali AWS risorse si desidera che il registratore di AWS Config configurazione registri. Attraverso le regole collegate ai servizi, il registratore di configurazione consente a Security Hub di rilevare le modifiche alle configurazioni delle risorse.

Affinché Security Hub generi risultati di controllo accurati, è necessario attivare la registrazione AWS Config per le risorse che corrispondono ai controlli abilitati. Sono principalmente abilitati i controlli con un tipo di pianificazione innescato dalla modifica che richiedono la registrazione delle risorse. Alcuni controlli con un tipo di pianificazione periodica richiedono anche la registrazione delle risorse. Per un elenco di questi controlli e delle risorse corrispondenti, vedereAWS Config Risorse necessarie per i risultati del controllo del Security Hub.

avvertimento

Se non configuri correttamente AWS Config la registrazione per i controlli del Security Hub, i risultati dei controlli possono essere imprecisi, in particolare nei seguenti casi:

  • Non hai mai registrato la risorsa per un determinato controllo o hai disabilitato la registrazione di una risorsa prima di creare quel tipo di risorsa. In questi casi, riceverete un WARNING risultato relativo al controllo in questione, anche se potreste aver creato delle risorse nell'ambito del controllo dopo aver disattivato la registrazione. Questo WARNING risultato è un risultato predefinito che in realtà non valuta lo stato di configurazione della risorsa.

  • Si disabilita la registrazione per una risorsa che viene valutata da un particolare controllo. In questo caso, Security Hub conserva i risultati del controllo generati prima della disattivazione della registrazione, anche se il controllo non valuta risorse nuove o aggiornate. Security Hub modifica anche lo stato di conformità dei risultati inWARNING. Questi risultati conservati potrebbero non riflettere accuratamente lo stato di configurazione corrente di una risorsa.

Per impostazione predefinita, AWS Config registra tutte le risorse regionali supportate che rileva nell'ambiente Regione AWS in cui è in esecuzione. Per ricevere tutti i risultati del controllo del Security Hub, è inoltre necessario AWS Config configurare la registrazione delle risorse globali. Per risparmiare sui costi, consigliamo di registrare le risorse globali solo in una singola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa regione dovrebbe essere la tua regione di origine.

In AWS Config, puoi scegliere tra la registrazione continua e la registrazione giornaliera delle modifiche allo stato delle risorse. Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati del Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.

Per ulteriori informazioni sulla AWS Config registrazione, consulta Recording AWS resources nella Developer Guide.AWS Config

Modi per abilitare e configurare AWS Config

È possibile abilitare AWS Config e attivare la registrazione delle risorse in uno dei seguenti modi:

  • AWS Config console: è possibile attivare AWS Config un account utilizzando la AWS Config console. Per istruzioni, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori.

  • AWS CLI oppure SDKs — È possibile attivare AWS Config un account utilizzando AWS Command Line Interface (AWS CLI). Per istruzioni, consulta Configurazione AWS Config con AWS CLI nella Guida per gli AWS Config sviluppatori. AWS i kit di sviluppo software (SDKs) sono disponibili anche per molti linguaggi di programmazione.

  • CloudFormation modello — AWS Config Per abilitare più account, consigliamo di utilizzare il AWS CloudFormation modello denominato Enable. AWS Config Per accedere a questo modello, consulta i modelli di AWS CloudFormation StackSet esempio nella Guida AWS CloudFormation per l'utente.

    Per impostazione predefinita, questo modello esclude la registrazione per le risorse globali IAM. Assicurati di attivare la registrazione per le risorse globali IAM in una sola volta Regione AWS per ridurre i costi di registrazione. Se hai abilitato l'aggregazione tra regioni, questa dovrebbe essere la tua area di residenza del Security Hub. Altrimenti, può essere qualsiasi regione in cui è disponibile Security Hub che supporta la registrazione di risorse globali IAM. Ti consigliamo di eseguirne uno StackSet per registrare tutte le risorse, incluse le risorse globali IAM, nella regione di origine o in un'altra regione selezionata. Quindi, esegui un secondo StackSet per registrare tutte le risorse tranne le risorse globali IAM in altre regioni.

  • GitHub script: Security Hub offre uno GitHubscript che abilita Security Hub e AWS Config per più account tra le regioni. Questo script è utile se non hai ancora effettuato l'integrazione o se disponi di alcuni account membro che non fanno parte di un'organizzazione. AWS Organizations

Per ulteriori informazioni, consulta il seguente post sul blog sulla AWS sicurezza: Ottimizza AWS Config per AWS Security Hub gestire efficacemente la tua posizione di sicurezza nel cloud.

Controllo Config.1

In Security Hub, il controllo Config.1 genera FAILED risultati nel tuo account se AWS Config è disabilitato. Inoltre, genera FAILED risultati nel tuo account se AWS Config è abilitato ma la registrazione delle risorse non è attivata.

Se AWS Config è abilitata e la registrazione delle risorse è attivata, ma la registrazione delle risorse non è attivata per un tipo di risorsa controllata da un controllo abilitato, Security Hub genera un FAILED risultato per il controllo Config.1. Oltre a questo FAILED risultato, Security Hub genera WARNING risultati per il controllo abilitato e i tipi di risorse controllate dal controllo. Ad esempio, se abiliti il controllo KMS.5 e la registrazione delle risorse non è attivata AWS KMS keys, Security Hub genera un FAILED risultato per il controllo Config.1. Security Hub genera anche WARNING risultati per il controllo KMS.5 e le tue chiavi KMS.

Per ricevere un PASSED risultato per il controllo Config.1, attiva la registrazione delle risorse per tutti i tipi di risorse che corrispondono ai controlli abilitati. Disabilita anche i controlli che non sono necessari per la tua organizzazione. Questo aiuta a garantire che non vi siano lacune di configurazione nei controlli di sicurezza. Contribuisce inoltre a garantire la ricezione di risultati accurati sulle risorse configurate in modo errato.

Se sei l'amministratore delegato del Security Hub di un'organizzazione, AWS Config la registrazione deve essere configurata correttamente per il tuo account e per i tuoi account membro. Se utilizzi l'aggregazione tra regioni, la AWS Config registrazione deve essere configurata correttamente nella regione d'origine e in tutte le regioni collegate. Le risorse globali non devono essere registrate nelle regioni collegate.

Generazione delle regole legate ai servizi

Per ogni controllo che utilizza una AWS Config regola collegata al servizio, Security Hub crea istanze della regola richiesta nell'ambiente. AWS

Queste regole collegate ai servizi sono specifiche di Security Hub. Security Hub crea queste regole collegate ai servizi anche se esistono già altre istanze delle stesse regole. La regola collegata al servizio viene aggiunta securityhub prima del nome della regola originale e un identificatore univoco dopo il nome della regola. Ad esempio, per la regola AWS Config gestitavpc-flow-logs-enabled, il nome della regola collegata al servizio potrebbe essere. securityhub-vpc-flow-logs-enabled-12345

Esistono quote per il numero di regole AWS Config gestite che possono essere utilizzate per valutare i controlli. AWS Config Le regole personalizzate create da Security Hub non vengono conteggiate ai fini di tali quote. Puoi abilitare uno standard di sicurezza anche se hai già raggiunto la AWS Config quota di regole gestite nel tuo account. Per ulteriori informazioni sulle quote per AWS Config le regole, consulta la sezione Limiti del servizio AWS Config nella Guida per gli AWS Config sviluppatori.

Considerazioni sui costi

Security Hub può influire sui costi AWS Config del registratore di configurazione aggiornando l'elemento AWS::Config::ResourceCompliance di configurazione. Gli aggiornamenti possono avvenire ogni volta che un controllo Security Hub associato a una AWS Config regola modifica lo stato di conformità, viene abilitato o disabilitato o presenta aggiornamenti dei parametri. Se utilizzi il registratore di AWS Config configurazione solo per Security Hub e non usi questo elemento di configurazione per altri scopi, ti consigliamo di disattivarne la registrazione. AWS Config Questo può ridurre i AWS Config costi. Non è necessario registrarsi perché i controlli AWS::Config::ResourceCompliance di sicurezza funzionino in Security Hub.

Per informazioni sui costi associati alla registrazione delle risorse, consulta AWS Security Hub prezzi e AWS Config prezzi.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.