Abilitazione e disabilitazione degli standard di sicurezza - AWS Security Hub
Abilitazione di uno standard di sicurezzaDisabilitazione di uno standard di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione e disabilitazione degli standard di sicurezza

Puoi abilitare o disabilitare ogni standard di sicurezza disponibile in Security Hub.

Prima di abilitare qualsiasi standard di sicurezza, assicurati di aver abilitato AWS Config e configurato la registrazione delle risorse. In caso contrario, Security Hub potrebbe non essere in grado di generare risultati per i controlli che si applicano a uno standard. Per ulteriori informazioni, consulta Configurazione AWS Config.

Nota

Le istruzioni per abilitare e disabilitare gli standard variano a seconda che si utilizzi o meno la configurazione centrale. Questa sezione descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub e AWS Organizations. Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione degli standard in ambienti con più account e più regioni.

Abilitazione di uno standard di sicurezza

Quando si abilita uno standard di sicurezza, tutti i controlli che si applicano allo standard vengono abilitati automaticamente in esso. Security Hub inizia anche a generare risultati per i controlli che si applicano allo standard.

Puoi scegliere quali controlli abilitare e disabilitare in ogni standard. La disabilitazione di un controllo interrompe la generazione dei risultati relativi al controllo e il controllo viene ignorato durante il calcolo dei punteggi di sicurezza.

Quando abiliti Security Hub, Security Hub calcola il punteggio di sicurezza iniziale per uno standard entro 30 minuti dalla prima visita alla pagina di riepilogo o alla pagina degli standard di sicurezza sulla console di Security Hub. Possono essere necessarie fino a 24 ore prima che i punteggi di sicurezza vengano generati per la prima volta nelle regioni della Cina e. AWS GovCloud (US) Region I punteggi vengono generati solo per gli standard abilitati quando visiti quelle pagine. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Dopo la prima generazione del punteggio, Security Hub aggiorna il punteggio di sicurezza ogni 24 ore. Security Hub visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta. Per visualizzare un elenco degli standard attualmente abilitati nel tuo account, richiama l'API. GetEnabledStandards

Attivazione di uno standard su più account e regioni

Per abilitare uno standard di sicurezza su più account e Regioni AWS, è necessario utilizzare la configurazione centrale.

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione del Security Hub che abilitano uno o più standard. È quindi possibile associare la politica di configurazione a account e unità organizzative (OU) specifici o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, è possibile scegliere di abilitare solo AWS Foundational Security Best Practices (FSBP) in un'unità organizzativa e di abilitare FSBP e Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 in un'altra unità organizzativa. Per istruzioni sulla creazione di una politica di configurazione che abiliti gli standard specifici, vedere Creazione e associazione dei criteri di configurazione del Security Hub

Se utilizzi la configurazione centrale, Security Hub non abilita automaticamente nessuno standard negli account nuovi o esistenti. Invece, quando crea una politica di configurazione, l'amministratore delegato definisce quali standard abilitare nei diversi account. Security Hub offre una politica di configurazione consigliata in cui è abilitato solo FSBP. Per ulteriori informazioni, consulta Tipi di politiche di configurazione.

Nota

L'amministratore delegato può creare politiche di configurazione per abilitare qualsiasi standard tranne Service-Managed Standard:. AWS Control TowerÈ possibile abilitare questo standard solo nel servizio. AWS Control Tower Se si utilizza la configurazione centrale, è possibile abilitare e disabilitare i controlli di questo standard per un account gestito centralmente solo in AWS Control Tower.

Se desideri che alcuni account configurino i propri standard anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare gli standard separatamente in ciascuna regione.

Abilitazione di uno standard in un unico account e regione

Se non utilizzi la configurazione centrale o se sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente gli standard in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare uno standard in un unico account e regione.

Security Hub console
Per abilitare uno standard in un account e in un'unica regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Conferma di utilizzare Security Hub nella regione in cui desideri abilitare lo standard.

  3. Nel riquadro di navigazione Security Hub, scegli Standard di sicurezza.

  4. Per lo standard che si desidera abilitare, scegliere Enable (Abilita). Ciò abilita anche tutti i controlli all'interno di quello standard.

  5. Ripetere l'operazione in ogni regione in cui si desidera abilitare lo standard.

Security Hub API
Per abilitare uno standard in un account e in un'unica regione

  1. Invoca l'BatchEnableStandardsAPI.

  2. Fornisci l'Amazon Resource Name (ARN) dello standard che desideri abilitare. Per ottenere l'ARN standard, richiamate l'API. DescribeStandards

  3. Ripetere l'operazione in ogni regione in cui si desidera abilitare lo standard.

AWS CLI
Per abilitare uno standard in un account e in un'unica regione

  1. Esegui il comando batch-enable-standards.

  2. Fornisci l'Amazon Resource Name (ARN) dello standard che desideri abilitare. Per ottenere l'ARN standard, esegui il describe-standardscomando.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Esempio

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Ripetere l'operazione in ogni regione in cui si desidera abilitare lo standard.

Attivazione automatica degli standard di sicurezza predefiniti

Se non utilizzi la configurazione centrale, Security Hub abilita automaticamente gli standard di sicurezza predefiniti nei nuovi account quando entrano a far parte della tua organizzazione. Inoltre, tutti i controlli che fanno parte degli standard predefiniti vengono abilitati automaticamente. Attualmente, gli standard di sicurezza predefiniti che vengono abilitati automaticamente sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Puoi disattivare gli standard abilitati automaticamente se preferisci abilitare manualmente gli standard nei nuovi account.

Se si utilizza la configurazione centrale, è possibile creare una politica di configurazione che abiliti gli standard predefiniti e associare questa politica alla radice. Tutti gli account e le unità organizzative dell'organizzazione erediteranno questa politica di configurazione a meno che non siano associati a una politica diversa o siano gestiti automaticamente.

Disattiva gli standard abilitati automaticamente

I passaggi seguenti si applicano solo se si esegue l'integrazione con la configurazione centrale AWS Organizations ma non si utilizza. Se non utilizzi l'integrazione Organizations, puoi disattivare uno standard predefinito quando attivi Security Hub per la prima volta oppure puoi seguire i passaggi per disabilitare uno standard.

Security Hub console
Per disattivare gli standard abilitati automaticamente

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore.

  2. Nel pannello di navigazione di Security Hub, in Impostazioni, scegli Configurazione.

  3. Nella sezione Account, disattiva l'attivazione automatica degli standard predefiniti.

Security Hub API
Per disattivare gli standard abilitati automaticamente

  1. Richiama l'UpdateOrganizationConfigurationAPI dall'account amministratore di Security Hub.

  2. Per disattivare gli standard abilitati automaticamente negli account dei nuovi membri, imposta AutoEnableStandards uguale aNONE.

AWS CLI
Per disattivare gli standard abilitati automaticamente

  1. Esegui il comando update-organization-configuration.

  2. Includi il auto-enable-standards parametro per disattivare gli standard abilitati automaticamente negli account dei nuovi membri.

    aws securityhub update-organization-configuration --auto-enable-standards

Disabilitazione di uno standard di sicurezza

Quando si disabilita uno standard di sicurezza in Security Hub, si verifica quanto segue:

  • Tutti i controlli che si applicano allo standard sono inoltre disabilitati a meno che non siano associati a un altro standard.

  • I controlli per i controlli disabilitati non vengono più eseguiti e non vengono generati risultati aggiuntivi per i controlli disabilitati.

  • I risultati esistenti relativi ai controlli disabilitati vengono archiviati automaticamente dopo circa 3-5 giorni.

  • Le AWS Config regole che Security Hub ha creato per i controlli disabilitati vengono rimosse.

    Questa operazione si verifica in genere entro pochi minuti dalla disattivazione dello standard, ma potrebbe richiedere più tempo. Se la prima richiesta di eliminazione delle AWS Config regole fallisce, Security Hub riprova ogni 12 ore. Tuttavia, se hai disabilitato Security Hub o non hai abilitato nessun altro standard, Security Hub non può riprovare la richiesta, il che significa che non può eliminare le AWS Config regole. Se ciò si verifica e devi eliminare AWS Config le regole, contatta AWS Support.

Disabilitazione di uno standard su più account e regioni

Per disabilitare uno standard di sicurezza su più account e regioni, è necessario utilizzare la configurazione centrale.

Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che disabilitano uno o più standard. È possibile associare una politica di configurazione a account e unità organizzative specifici o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, è possibile scegliere di disabilitare lo standard PCI DSS (Payment Card Industry Data Security Standard) in un'unità organizzativa e disabilitare sia PCI DSS che il National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 in un'altra unità organizzativa. Per istruzioni sulla creazione di una politica di configurazione che disabiliti gli standard specifici, vedere. Creazione e associazione dei criteri di configurazione del Security Hub

Nota

L'amministratore delegato può creare politiche di configurazione per disabilitare qualsiasi standard tranne il Service-Managed Standard:. AWS Control TowerÈ possibile disabilitare questo standard solo nel servizio. AWS Control Tower Se si utilizza la configurazione centrale, è possibile abilitare e disabilitare i controlli di questo standard per un account gestito centralmente solo in AWS Control Tower.

Se desideri che alcuni account configurino i propri standard anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare gli standard separatamente in ciascuna regione.

Disabilitazione di uno standard in un unico account e regione

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente gli standard in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per disabilitare uno standard in un unico account e regione.

Security Hub console
Per disabilitare uno standard in un account e in una regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Conferma di utilizzare Security Hub nella regione in cui desideri disabilitare lo standard.

  3. Nel riquadro di navigazione Security Hub, scegli Standard di sicurezza.

  4. Per lo standard che si desidera disabilitare, scegliere Disable (Disabilita).

  5. Ripeti l'operazione in ogni regione in cui desideri disabilitare lo standard.

Security Hub API
Per disabilitare uno standard in un account e in una regione

  1. Invoca l'BatchDisableStandardsAPI.

  2. Per ogni standard che desideri disabilitare, fornisci l'ARN dell'abbonamento standard. Per ottenere gli ARN dell'abbonamento per gli standard abilitati, richiama l'API. GetEnabledStandards

  3. Ripeti l'operazione in ogni regione in cui desideri disabilitare lo standard.

AWS CLI
Per disabilitare uno standard in un account e in una regione

  1. Esegui il comando batch-disable-standards.

  2. Per ogni standard che desideri disabilitare, fornisci l'ARN dell'abbonamento standard. Per ottenere gli ARN dell'abbonamento per gli standard abilitati, esegui il get-enabled-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Esempio

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Ripeti l'operazione in ogni regione in cui desideri disabilitare lo standard.