Activation et configuration AWS Config pour Security Hub CSPM - AWS Security Hub
Considérations avant l'activation et la configuration AWS ConfigEnregistrer des ressources dans AWS ConfigMéthodes d'activation et de configuration AWS ConfigContrôle Config.1Génération des règles liées aux servicesConsidérations de coût

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et configuration AWS Config pour Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) utilise des AWS Config règles pour exécuter des contrôles de sécurité et générer des résultats pour la plupart des contrôles. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Il utilise des règles pour établir une configuration de base pour vos ressources et un enregistreur de configuration pour détecter si une ressource particulière enfreint les conditions d'une règle. Certaines règles, appelées règles AWS Config gérées, sont prédéfinies et développées par AWS Config. Les autres règles sont AWS Config des règles personnalisées développées par Security Hub CSPM.

AWS Config les règles utilisées par Security Hub CSPM pour les contrôles sont appelées règles liées aux services. Les règles liées aux services permettent, Services AWS par exemple au Security Hub CSPM, de créer des AWS Config règles dans votre compte.

Pour recevoir les résultats des contrôles dans Security Hub CSPM, vous devez les activer AWS Config dans votre compte et activer l'enregistrement pour les ressources que vos contrôles activés évaluent. Cette page explique comment activer AWS Config Security Hub CSPM et activer l'enregistrement des ressources.

Considérations avant l'activation et la configuration AWS Config

Pour recevoir les résultats de contrôle dans Security Hub CSPM, votre compte doit être AWS Config activé dans chaque Région AWS cas où Security Hub CSPM est activé. Si vous utilisez Security Hub CSPM pour un environnement multi-comptes, celui-ci AWS Config doit être activé dans chaque région pour le compte administrateur et tous les comptes membres.

Nous vous recommandons vivement d'activer l'enregistrement des ressources AWS Config avant d'activer les normes et contrôles CSPM du Security Hub. Cela vous permet de vous assurer que les résultats de vos contrôles sont exacts.

Pour activer l'enregistrement des ressources dans AWS Config, vous devez disposer des autorisations suffisantes pour enregistrer les ressources dans le rôle AWS Identity and Access Management (IAM) attaché à l'enregistreur de configuration. En outre, assurez-vous qu'aucune politique IAM ou aucune politique gérée n' AWS Config empêche AWS Organizations d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles de contrôle CSPM du Security Hub évaluent directement la configuration d'une ressource et ne tiennent pas compte AWS Organizations des politiques. Pour plus d'informations sur AWS Config l'enregistrement, consultez la section Utilisation de l'enregistreur de configuration dans le Guide du AWS Config développeur.

Si vous activez une norme dans Security Hub CSPM mais que vous ne l'avez pas activée AWS Config, Security Hub CSPM essaie de créer des AWS Config règles selon le calendrier suivant :

  • Le jour où vous activez la norme.

  • Le lendemain de l'activation de la norme.

  • 3 jours après avoir activé la norme.

  • 7 jours après l'activation de la norme, puis en continu tous les 7 jours.

Si vous utilisez la configuration centralisée, Security Hub CSPM essaie également de créer des AWS Config règles liées aux services chaque fois que vous associez une politique de configuration qui active une ou plusieurs normes aux comptes, aux unités organisationnelles (OUs) ou à la racine.

Enregistrer des ressources dans AWS Config

Lorsque vous l'activez AWS Config, vous devez spécifier les AWS ressources que vous souhaitez que l'enregistreur de AWS Config configuration enregistre. Grâce aux règles liées au service, l'enregistreur de configuration permet à Security Hub CSPM de détecter les modifications apportées à la configuration de vos ressources.

Pour que Security Hub CSPM génère des résultats de contrôle précis, vous devez activer l'enregistrement AWS Config pour les ressources correspondant à vos contrôles activés. Il s'agit principalement de contrôles activés avec un type de calendrier déclenché par des modifications qui nécessitent un enregistrement des ressources. Certains contrôles dotés d'un type de calendrier périodique nécessitent également un enregistrement des ressources. Pour obtenir la liste de ces contrôles et des ressources correspondantes, consultezAWS Config Ressources requises pour les résultats des contrôles.

Avertissement

Si vous ne configurez pas correctement AWS Config l'enregistrement pour les contrôles Security Hub CSPM, cela peut entraîner des résultats de contrôle inexacts, en particulier dans les cas suivants :

  • Vous n'avez jamais enregistré la ressource pour un contrôle donné, ou vous avez désactivé l'enregistrement d'une ressource avant de créer ce type de ressource. Dans ces cas, vous recevez un WARNING résultat pour le contrôle en question, même si vous avez peut-être créé des ressources dans le cadre du contrôle après avoir désactivé l'enregistrement. Il WARNING s'agit d'un résultat par défaut qui n'évalue pas réellement l'état de configuration de la ressource.

  • Vous désactivez l'enregistrement pour une ressource évaluée par un contrôle particulier. Dans ce cas, Security Hub CSPM conserve les résultats du contrôle générés avant que vous ne désactiviez l'enregistrement, même si le contrôle n'évalue pas les ressources nouvelles ou mises à jour. Security Hub CSPM modifie également le statut de conformité des résultats en. WARNING Ces résultats conservés peuvent ne pas refléter avec précision l'état de configuration actuel d'une ressource.

Par défaut, AWS Config enregistre toutes les ressources régionales prises en charge qu'il découvre dans le Région AWS système dans lequel il s'exécute. Pour recevoir tous les résultats du contrôle CSPM du Security Hub, vous devez également configurer AWS Config pour enregistrer les ressources globales. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, cette région doit être votre région d'origine.

Dans AWS Config, vous pouvez choisir entre un enregistrement continu et un enregistrement quotidien des modifications de l'état des ressources. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats CSPM du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.

Pour plus d'informations sur AWS Config l'enregistrement, consultez la section AWS Ressources relatives à l'enregistrement dans le Guide du AWS Config développeur.

Méthodes d'activation et de configuration AWS Config

Vous pouvez activer AWS Config et activer l'enregistrement des ressources de l'une des manières suivantes :

  • AWS Config console — Vous pouvez activer un compte AWS Config à l'aide de la AWS Config console. Pour obtenir des instructions, reportez-vous à la section Configuration AWS Config à l'aide de la console dans le Guide du AWS Config développeur.

  • AWS CLI ou SDKs — Vous pouvez activer AWS Config un compte en utilisant le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, reportez-vous à la section Configuration AWS Config avec le AWS CLI dans le guide du AWS Config développeur. AWS des kits de développement logiciel (SDKs) sont également disponibles pour de nombreux langages de programmation.

  • CloudFormation modèle — Pour l'activer AWS Config pour de nombreux comptes, nous vous recommandons d'utiliser le AWS CloudFormation modèle nommé Enable AWS Config. Pour accéder à ce modèle, consultez les AWS CloudFormation StackSet exemples de modèles dans le guide de AWS CloudFormation l'utilisateur.

    Par défaut, ce modèle exclut l'enregistrement pour les ressources globales IAM. Assurez-vous d'activer l'enregistrement pour les ressources mondiales IAM en une seule fois afin de réduire Région AWS les coûts d'enregistrement. Si l'agrégation entre régions est activée, il doit s'agir de votre région d'origine du Security Hub CSPM. Sinon, il peut s'agir de n'importe quelle région dans laquelle Security Hub CSPM est disponible et qui prend en charge l'enregistrement des ressources mondiales IAM. Nous vous recommandons d'en exécuter un StackSet pour enregistrer toutes les ressources, y compris les ressources globales IAM, dans la région d'origine ou dans une autre région sélectionnée. Exécutez ensuite une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales IAM dans les autres régions.

  • GitHub script : Security Hub CSPM propose un GitHubscript qui active Security Hub CSPM AWS Config pour plusieurs comptes dans toutes les régions. Ce script est utile si vous ne vous êtes pas intégré à une AWS Organizations organisation ou si vous possédez des comptes membres qui ne font pas partie d'une organisation.

Pour plus d'informations, consultez le billet de blog suivant sur le blog de AWS sécurité : Optimize AWS Config for AWS Security Hub Cloud Security Posture Management (CSPM) pour gérer efficacement votre posture de sécurité dans le cloud.

Contrôle Config.1

Dans Security Hub CSPM, le contrôle Config.1 génère des FAILED résultats dans votre compte s'il AWS Config est désactivé. Il génère également des FAILED résultats dans votre compte s'il AWS Config est activé mais que l'enregistrement des ressources n'est pas activé.

Si cette option AWS Config est activée et que l'enregistrement des ressources est activé, mais que l'enregistrement des ressources n'est pas activé pour un type de ressource vérifié par un contrôle activé, Security Hub CSPM génère un FAILED résultat pour le contrôle Config.1. Outre ce FAILED résultat, Security Hub CSPM génère des WARNING résultats concernant le contrôle activé et les types de ressources que le contrôle contrôle. Par exemple, si vous activez le contrôle KMS.5 et que l'enregistrement des ressources n'est pas activé pour AWS KMS keys, Security Hub CSPM génère un FAILED résultat pour le contrôle Config.1. Security Hub CSPM génère également des WARNING résultats pour le contrôle KMS.5 et vos clés KMS.

Pour recevoir un PASSED résultat pour le contrôle Config.1, activez l'enregistrement des ressources pour tous les types de ressources correspondant aux contrôles activés. Désactivez également les contrôles qui ne sont pas obligatoires pour votre organisation. Cela permet de s'assurer que vous ne présentez aucune lacune de configuration lors de vos contrôles de sécurité. Cela permet également de garantir que vous recevez des informations précises sur les ressources mal configurées.

Si vous êtes l'administrateur délégué du Security Hub CSPM d'une organisation, l' AWS Config enregistrement doit être correctement configuré pour votre compte et les comptes de vos membres. Si vous utilisez l'agrégation entre régions, AWS Config l'enregistrement doit être correctement configuré dans la région d'origine et dans toutes les régions liées. Les ressources mondiales n'ont pas besoin d'être enregistrées dans les régions liées.

Génération des règles liées aux services

Pour chaque contrôle utilisant une AWS Config règle liée à un service, Security Hub CSPM crée des instances de la règle requise dans votre environnement. AWS

Ces règles liées aux services sont spécifiques à Security Hub CSPM. Security Hub CSPM crée ces règles liées aux services même si d'autres instances des mêmes règles existent déjà. La règle liée au service est ajoutée securityhub avant le nom de règle d'origine et un identifiant unique après le nom de règle. Par exemple, pour la règle AWS Config géréevpc-flow-logs-enabled, le nom de la règle liée au service peut être. securityhub-vpc-flow-logs-enabled-12345

Il existe des quotas pour le nombre de règles AWS Config gérées qui peuvent être utilisées pour évaluer les contrôles. AWS Config les règles créées par Security Hub CSPM ne sont pas prises en compte dans ces quotas. Vous pouvez activer une norme de sécurité même si vous avez déjà atteint le AWS Config quota de règles gérées dans votre compte. Pour en savoir plus sur les quotas pour AWS Config les règles, consultez la section Limites AWS Config de service du Guide du AWS Config développeur.

Considérations de coût

Security Hub CSPM peut avoir un impact sur les coûts de votre enregistreur AWS Config de configuration en mettant à jour l'élément de AWS::Config::ResourceCompliance configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub CSPM associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub CSPM et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans. AWS Config Cela peut réduire vos AWS Config coûts. Vous n'avez pas besoin de vous enregistrer AWS::Config::ResourceCompliance pour que les contrôles de sécurité fonctionnent dans Security Hub CSPM.

Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, consultez AWS la section Tarification et AWS Config tarification de Security Hub Cloud Security Posture Management (CSPM).