Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mise en place d'une norme de sécurité
Lorsque vous activez une norme de sécurité dans AWS Security Hub Cloud Security Posture Management (CSPM), Security Hub CSPM crée et active automatiquement tous les contrôles qui s'appliquent à la norme. Security Hub CSPM commence également à exécuter des contrôles de sécurité et à générer des résultats pour les contrôles.
Pour optimiser la couverture et la précision des résultats, activez et configurez l'enregistrement des ressources AWS Config avant d'activer une norme. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour de plus amples informations, veuillez consulter Activation et configuration AWS Config pour Security Hub CSPM.
Après avoir activé une norme, vous pouvez désactiver ou réactiver ultérieurement les contrôles individuels qui s'appliquent à la norme. Si vous désactivez un contrôle pour une norme, Security Hub CSPM arrête de générer des résultats pour le contrôle. En outre, Security Hub CSPM ignore le contrôle lorsqu'il calcule le score de sécurité pour la norme. Le score de sécurité est le pourcentage de contrôles ayant réussi l'évaluation, par rapport au nombre total de contrôles qui s'appliquent à la norme, sont activés et comportent des données d'évaluation.
Lorsque vous activez une norme, Security Hub CSPM génère un score de sécurité préliminaire pour la norme, généralement dans les 30 minutes suivant votre première visite sur la page Résumé ou sur les normes de sécurité de la console Security Hub CSPM. Les scores de sécurité sont générés uniquement pour les normes activées lorsque vous consultez ces pages sur la console. De plus, l'enregistrement des ressources doit être configuré AWS Config pour que les scores apparaissent. Dans les régions de Chine AWS GovCloud (US) Regions, jusqu'à 24 heures peuvent être nécessaires pour que Security Hub CSPM génère un score de sécurité préliminaire pour une norme. Une fois que Security Hub CSPM a généré un score préliminaire, il le met à jour toutes les 24 heures. Pour déterminer la date de dernière mise à jour d'un score de sécurité, vous pouvez vous référer à l'horodatage fourni par Security Hub CSPM pour le score. Pour de plus amples informations, veuillez consulter Calcul des scores de sécurité.
La manière dont vous activez une norme dépend de l'utilisation de la configuration centralisée pour gérer Security Hub CSPM pour plusieurs comptes et. Régions AWS Nous vous recommandons d'utiliser une configuration centralisée si vous souhaitez activer les normes dans des environnements multicomptes et multirégionaux. Vous pouvez utiliser la configuration centralisée si vous intégrez Security Hub CSPM à. AWS Organizations Si vous n'utilisez pas la configuration centralisée, vous devez activer chaque norme séparément dans chaque compte et dans chaque région.
Rubriques
Activation d'une norme dans plusieurs comptes et Régions AWS
Pour activer et configurer une norme de sécurité pour plusieurs comptes Régions AWS, utilisez la configuration centralisée. Grâce à la configuration centralisée, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration Security Hub CSPM qui permettent d'appliquer une ou plusieurs normes. L'administrateur peut ensuite associer une politique de configuration à des comptes individuels, à des unités organisationnelles (OUs) ou à la racine. Une politique de configuration affecte la région d'origine, également appelée région d'agrégation, et toutes les régions liées.
Les politiques de configuration proposent des options de personnalisation. Par exemple, vous pouvez choisir d'activer uniquement la norme AWS Foundational Security Best Practices (FSBP) pour une unité d'organisation. Pour une autre unité d'organisation, vous pouvez choisir d'activer à la fois la norme FSBP et la norme Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Pour plus d'informations sur la création d'une politique de configuration qui active les normes spécifiques que vous spécifiez, consultezCréation et association de politiques de configuration.
Si vous utilisez la configuration centralisée, Security Hub CSPM n'active aucune norme automatiquement dans les comptes nouveaux ou existants. Au lieu de cela, l'administrateur Security Hub CSPM indique les normes à activer dans les différents comptes lorsqu'il crée des politiques de configuration Security Hub CSPM pour son organisation. Security Hub CSPM propose une politique de configuration recommandée dans laquelle seule la norme FSBP est activée. Pour de plus amples informations, veuillez consulter Types de politiques de configuration.
Note
L'administrateur CSPM du Security Hub peut utiliser des politiques de configuration pour activer n'importe quelle norme, à l'exception de la norme gérée par les AWS Control Tower services. Pour activer cette norme, l'administrateur doit utiliser AWS Control Tower directement. Ils doivent également AWS Control Tower activer ou désactiver les contrôles individuels dans cette norme pour un compte géré de manière centralisée.
Si vous souhaitez que certains comptes activent et configurent les normes pour leurs propres comptes, l'administrateur du Security Hub CSPM peut désigner ces comptes comme des comptes autogérés. Les comptes autogérés doivent activer et configurer les normes séparément dans chaque région.
Activation d'une norme dans un seul compte et Région AWS
Si vous n'utilisez pas de configuration centralisée ou si vous possédez un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer de manière centralisée les normes de sécurité dans plusieurs comptes ou Régions AWS. Cependant, vous pouvez activer une norme dans un seul compte et dans une seule région. Pour ce faire, utilisez la console Security Hub CSPM ou l'API Security Hub CSPM.
Après avoir activé une norme, Security Hub CSPM commence à effectuer des tâches pour activer la norme dans le compte et dans la région spécifiée. Cela inclut la création de tous les contrôles qui s'appliquent à la norme. Pour suivre l'état de ces tâches, vous pouvez vérifier l'état de la norme pour le compte et la région.
Vérifier le statut d'une norme
Lorsque vous activez une norme de sécurité pour un compte, Security Hub CSPM commence à créer tous les contrôles qui s'appliquent à la norme dans le compte. Security Hub CSPM exécute également des tâches supplémentaires pour activer la norme pour le compte, telles que la génération d'un score de sécurité préliminaire pour la norme. Pendant que Security Hub CSPM exécute ces tâches, le statut de la norme Pendingconcerne le compte. Le statut de la norme passe ensuite par des états supplémentaires, que vous pouvez surveiller et vérifier.
Note
Les modifications apportées aux commandes individuelles d'une norme n'ont aucune incidence sur le statut général de la norme. Par exemple, si vous activez un contrôle que vous avez précédemment désactivé, votre modification n'affectera pas le statut de la norme. De même, si vous modifiez la valeur d'un paramètre pour un contrôle activé, votre modification n'affecte pas le statut de la norme.
Pour vérifier l'état d'une norme à l'aide de la console Security Hub CSPM, choisissez Security standards dans le volet de navigation. La page des normes de sécurité répertorie toutes les normes actuellement prises en charge par Security Hub CSPM. Si Security Hub CSPM exécute actuellement des tâches pour activer la norme, la section relative à la norme indique que Security Hub CSPM génère toujours un score de sécurité pour la norme. Si une norme est activée, la section correspondante inclut le score actuel. Choisissez Afficher les résultats pour consulter des informations supplémentaires, notamment l'état des contrôles individuels qui s'appliquent à la norme. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
Pour vérifier l'état d'une norme par programmation à l'aide de l'API Security Hub CSPM, utilisez l'opération. GetEnabledStandards Dans votre demande, utilisez éventuellement le StandardsSubscriptionArns paramètre pour spécifier le nom de ressource Amazon (ARN) de la norme dont vous souhaitez vérifier le statut. Si vous utilisez le AWS Command Line Interface (AWS CLI), vous pouvez exécuter la get-enabled-standardscommande pour vérifier l'état d'une norme. Pour spécifier l'ARN de la norme à vérifier, utilisez le standards-subscription-arns paramètre. Pour déterminer l'ARN à spécifier, vous pouvez utiliser l'DescribeStandardsopération ou, pour le AWS CLI, exécuter la describe-standardscommande.
Si votre demande aboutit, Security Hub CSPM répond avec un tableau d'objets. StandardsSubscription Un abonnement standard est une AWS ressource que Security Hub CSPM crée dans un compte lorsqu'une norme est activée pour ce compte. Chaque StandardsSubscription objet fournit des informations sur une norme actuellement activée ou en cours d'activation ou de désactivation pour le compte. Dans chaque objet, le StandardsStatus champ indique le statut actuel de la norme pour le compte.
Le statut d'une norme (StandardsStatus) peut être l'un des suivants.
- PENDING
-
Security Hub CSPM exécute actuellement des tâches visant à activer la norme pour le compte. Cela inclut la création des contrôles qui s'appliquent à la norme et la génération d'un score de sécurité préliminaire pour la norme. L'exécution de toutes les tâches par Security Hub CSPM peut prendre plusieurs minutes. Une norme peut également avoir ce statut si elle est déjà activée pour le compte et si Security Hub CSPM ajoute actuellement de nouvelles commandes à la norme.
Si une norme possède ce statut, il se peut que vous ne puissiez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme. En outre, il se peut que vous ne puissiez pas configurer ou désactiver les commandes individuelles pour la norme. Par exemple, si vous essayez de désactiver un contrôle à l'aide de l'UpdateStandardsControlopération, une erreur se produit.
Pour déterminer si vous pouvez configurer ou gérer des contrôles individuels pour la norme, reportez-vous à la valeur du
StandardsControlsUpdatablechamp. Si la valeur de ce champ estREADY_FOR_UPDATES, vous pouvez commencer à gérer les contrôles individuels pour la norme. Sinon, attendez que Security Hub CSPM effectue des tâches de traitement supplémentaires pour activer la norme. - READY
-
La norme est actuellement activée pour le compte. Security Hub CSPM peut exécuter des contrôles de sécurité et générer des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. Security Hub CSPM peut également calculer un score de sécurité pour la norme.
Si une norme possède ce statut, vous pouvez récupérer les détails des contrôles individuels qui s'appliquent à la norme. En outre, vous pouvez configurer, désactiver ou réactiver les commandes. Vous pouvez également désactiver la norme.
- INCOMPLETE
-
Security Hub CSPM n'a pas pu activer complètement la norme pour le compte. Security Hub CSPM ne peut pas exécuter de contrôles de sécurité et générer des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. En outre, Security Hub CSPM ne peut pas calculer de score de sécurité pour la norme.
Pour déterminer pourquoi la norme n'a pas été complètement activée, reportez-vous aux informations du
StandardsStatusReasontableau. Ce tableau indique les problèmes qui ont empêché Security Hub CSPM d'activer la norme. En cas d'erreur interne, réessayez d'activer la norme pour le compte. Pour les autres types de problèmes, vérifiez vos AWS Config paramètres. Vous pouvez également désactiver les contrôles individuels que vous ne souhaitez pas vérifier ou désactiver complètement la norme. - DELETING
-
Security Hub CSPM traite actuellement une demande de désactivation de la norme pour le compte. Cela inclut la désactivation des contrôles qui s'appliquent à la norme et la suppression du score de sécurité associé. Le traitement de la demande par Security Hub CSPM peut prendre plusieurs minutes.
Si une norme possède ce statut, vous ne pouvez pas la réactiver ou essayer de la désactiver à nouveau pour le compte. Security Hub CSPM doit d'abord terminer le traitement de la demande en cours. En outre, vous ne pouvez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme ni gérer les contrôles.
- FAILED
-
Security Hub CSPM n'a pas réussi à désactiver la norme pour le compte. Une ou plusieurs erreurs se sont produites lorsque Security Hub CSPM a tenté de désactiver la norme. En outre, Security Hub CSPM ne peut pas calculer de score de sécurité pour la norme.
Pour déterminer pourquoi la norme n'a pas été complètement désactivée, reportez-vous aux informations du
StandardsStatusReasontableau. Ce tableau indique les problèmes qui ont empêché Security Hub CSPM de désactiver la norme.Si une norme possède ce statut, vous ne pouvez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme ni gérer les contrôles. Vous pouvez toutefois réactiver le standard pour le compte. Si vous résolvez les problèmes qui ont empêché Security Hub CSPM de désactiver la norme, vous pouvez également réessayer de la désactiver.
Si le statut d'une norme est telREADY, Security Hub CSPM exécute des contrôles de sécurité et génère des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. Pour les autres statuts, Security Hub CSPM peut effectuer des vérifications et générer des résultats pour certains contrôles activés, mais pas pour tous. La génération ou la mise à jour des résultats de contrôle peuvent prendre jusqu'à 24 heures. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
