Abilitazione e disabilitazione dei controlli in tutti gli standard - AWS Security Hub
Abilitazione dei controlliDisabilitazione dei controlli

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione e disabilitazione dei controlli in tutti gli standard

AWS Security Hub genera risultati per i controlli abilitati e considera tutti i controlli abilitati nel calcolo dei punteggi di sicurezza. È possibile scegliere di abilitare e disabilitare i controlli in tutti gli standard di sicurezza o configurare lo stato di abilitazione in modo diverso nei diversi standard. Consigliamo la prima opzione, in cui lo stato di attivazione di un controllo è allineato a tutti gli standard abilitati. Questa sezione spiega come abilitare e disabilitare i controlli tra gli standard. Per abilitare o disabilitare un controllo in uno o più standard specifici, vedereAbilitazione e disabilitazione dei controlli in standard specifici.

Se è stata impostata una regione di aggregazione, la console Security Hub mostra i controlli di tutte le regioni collegate. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione.

Nota

Le istruzioni per abilitare e disabilitare i controlli variano a seconda che si utilizzi o meno la configurazione centrale. Questa sezione descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub e AWS Organizations. Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione dei controlli in ambienti con più account e più regioni.

Abilitazione dei controlli

Quando abiliti un controllo in uno standard, Security Hub inizia a eseguire i controlli di sicurezza per il controllo e a generare i risultati del controllo.

Security Hub include lo stato del controllo nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Se attivi i risultati del controllo consolidato, riceverai un unico risultato per un controllo di sicurezza anche se hai abilitato un controllo in più standard. Per ulteriori informazioni, consulta Risultati dei controlli consolidati.

Abilitazione del controllo in tutti gli standard su più account e regioni

Per abilitare un controllo di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che abilitano controlli specifici su tutti gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, consulta. Creazione e associazione di policy di configurazione

Nota

L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il Service-Managed Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

Abilitare il controllo in tutti gli standard in un unico account e regione

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.

Security Hub console
Per abilitare un controllo su più standard in un account e in un'unica regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Scegli Controlli dal pannello di navigazione.

  3. Scegli la scheda Disabilitato.

  4. Scegli l'opzione accanto a un controllo.

  5. Scegli Abilita controllo (questa opzione non viene visualizzata per un controllo già abilitato).

  6. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

Security Hub API
Per abilitare il controllo su più standard in un account e in un'unica regione

  1. Invoca il. ListStandardsControlAssociationsAPI Fornisci un ID di controllo di sicurezza.

    Richiesta di esempio:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoca il. BatchUpdateStandardsControlAssociationsAPI Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standardARNs, esegui DescribeStandards.

  3. Imposta il AssociationStatus parametro uguale aENABLED. Se segui questi passaggi per un controllo già abilitato, API restituisce una risposta con il codice di HTTP stato 200.

    Richiesta di esempio:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Ripetere l'operazione in ogni regione in cui si desidera abilitare il controllo.

AWS CLI
Per abilitare il controllo su più standard in un account e in un'unica regione

  1. Esegui il comando list-standards-control-associations. Fornisci un ID di controllo di sicurezza.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Esegui il comando batch-update-standards-control-associations. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standardARNs, esegui il describe-standards comando.

  3. Imposta il AssociationStatus parametro uguale aENABLED. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di HTTP stato 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

Abilitazione automatica di nuovi controlli negli standard abilitati

Security Hub rilascia regolarmente nuovi controlli di sicurezza e li aggiunge a uno o più standard. Puoi scegliere se abilitare automaticamente i nuovi controlli negli standard abilitati.

Nota

Ti consigliamo di utilizzare la configurazione centrale per abilitare automaticamente i nuovi controlli. Se la politica di configurazione include un elenco di controlli da disabilitare (a livello di codice, questo riflette il DisabledSecurityControlIdentifiers parametro), Security Hub abilita automaticamente tutti gli altri controlli tra gli standard, inclusi i controlli appena rilasciati. Se la tua politica include un elenco di controlli da abilitare (questo riflette il EnabledSecurityControlIdentifiers parametro), Security Hub disabilita automaticamente tutti gli altri controlli tra gli standard, compresi quelli appena rilasciati. Per ulteriori informazioni, consulta Come funzionano le politiche di configurazione in Security Hub.

Scegli il metodo di accesso preferito e segui i passaggi per abilitare automaticamente i nuovi controlli negli standard abilitati. Le seguenti istruzioni si applicano solo se non utilizzi la configurazione centrale.

Security Hub console
Per abilitare automaticamente i nuovi controlli

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, scegli Impostazioni, quindi scegli la scheda Generale.

  3. In Controlli, scegli Modifica.

  4. Attiva l'attivazione automatica dei nuovi controlli negli standard abilitati.

  5. Seleziona Salva.

Security Hub API
Per abilitare automaticamente i nuovi controlli

  1. Invoca il. UpdateSecurityHubConfigurationAPI

  2. Per abilitare automaticamente nuovi controlli per gli standard abilitati, imposta suAutoEnableControls. true Se non desideri abilitare automaticamente i nuovi controlli, imposta AutoEnableControls su false.

AWS CLI
Per abilitare automaticamente i nuovi controlli

  1. Esegui il comando update-security-hub-configuration.

  2. Per abilitare automaticamente nuovi controlli per gli standard abilitati, specificare--auto-enable-controls. Se non desideri abilitare automaticamente i nuovi controlli, specifica--no-auto-enable-controls.

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    Comando di esempio

    aws securityhub update-security-hub-configuration --auto-enable-controls

Disabilitazione dei controlli

Quando si disattiva un controllo in tutti gli standard, si verifica quanto segue:

  • I controlli di sicurezza per il controllo non vengono più eseguiti.

  • Non vengono generati ulteriori risultati per tale verifica.

  • I risultati esistenti vengono archiviati automaticamente dopo 3-5 giorni (si noti che questa è la soluzione migliore).

  • Tutte AWS Config le regole correlate create da Security Hub vengono rimosse.

Invece di disabilitare un controllo in tutti gli standard, puoi semplicemente disabilitarlo in uno o più standard specifici. In tal caso, Security Hub non esegue controlli di sicurezza per il controllo degli standard in cui l'hai disabilitato, quindi non influisce sul punteggio di sicurezza per tali standard. Tuttavia, Security Hub mantiene la AWS Config regola e continua a eseguire i controlli di sicurezza per il controllo se è abilitato in altri standard. Ciò può influire sul punteggio di sicurezza riepilogativo. Per istruzioni sulla configurazione dei controlli in standard specifici, consultaAbilitazione e disabilitazione dei controlli in standard specifici.

Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. Per consigli su quali controlli disabilitare, vedi Controlli del Security Hub che potresti voler disabilitare.

Quando disabiliti uno standard, tutti i controlli che si applicano allo standard vengono disabilitati (tuttavia, tali controlli potrebbero rimanere abilitati in altri standard). Per informazioni sulla disabilitazione di uno standard, vedereAbilitazione e disabilitazione degli standard in Security Hub.

Quando disabiliti uno standard, Security Hub non tiene traccia dei controlli applicabili che sono stati disabilitati. Se successivamente riattivi lo stesso standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Inoltre, la disabilitazione di un controllo non è un'azione permanente. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard precedentemente disabilitato. Se lo standard include quel controllo, sarà abilitato in quello standard. Quando abiliti uno standard in Security Hub, tutti i controlli che si applicano a quello standard vengono abilitati automaticamente. Puoi scegliere di disabilitare controlli specifici.

Disattivazione di un controllo in tutti gli standard su più account e regioni

Per disabilitare un controllo di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che disabilitano i controlli specifici tra gli standard abilitati. È quindi possibile associare la politica di configurazione a account specifici o alla directory principale. OUs Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, è possibile scegliere di disabilitare tutti i AWS CloudTrail controlli in un'unità organizzativa e disabilitare tutti i IAM controlli in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che disabiliti controlli specifici tra gli standard, vedi. Creazione e associazione di policy di configurazione

Nota

L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il Service-Managed Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

Disabilitazione di un controllo in tutti gli standard in un unico account e regione

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per disabilitare un controllo in un singolo account e regione.

Security Hub console
Per disabilitare un controllo su più standard in un account e in un'unica regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Scegli Controlli dal pannello di navigazione.

  3. Scegli l'opzione accanto a un controllo.

  4. Scegli Disabilita controllo (questa opzione non viene visualizzata per un controllo già disabilitato).

  5. Seleziona un motivo per disabilitare il controllo e conferma scegliendo Disabilita.

  6. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.

Security Hub API
Per disabilitare un controllo su più standard in un account e in una regione

  1. Invoca il. ListStandardsControlAssociationsAPI Fornisci un ID di controllo di sicurezza.

    Richiesta di esempio:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoca il. BatchUpdateStandardsControlAssociationsAPI Fornisci tutti ARN gli standard in cui è abilitato il controllo. Per ottenere lo standardARNs, esegui DescribeStandards.

  3. Imposta il AssociationStatus parametro uguale aDISABLED. Se segui questi passaggi per un controllo già disabilitato, API restituisce una risposta con il codice di HTTP stato 200.

    Richiesta di esempio:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

  4. Ripetere l'operazione in ogni regione in cui si desidera disattivare il controllo.

AWS CLI
Per disabilitare un controllo su più standard in un account e in una regione

  1. Esegui il comando list-standards-control-associations. Fornisci un ID di controllo di sicurezza.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Esegui il comando batch-update-standards-control-associations. Fornisci ARN tutti gli standard in cui è abilitato il controllo. Per ottenere lo standardARNs, esegui il describe-standards comando.

  3. Imposta il AssociationStatus parametro uguale aDISABLED. Se segui questi passaggi per un controllo già disabilitato, il comando restituisce una risposta con il codice di HTTP stato 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

  4. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.