Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation du Security Hub CSPM

Il existe deux manières d'activer AWS Security Hub Cloud Security Posture Management (CSPM), en intégrant AWS Organizations ou manuellement.

Nous recommandons vivement l'intégration avec Organizations pour les environnements multicomptes et multirégionaux. Si vous avez un compte autonome, il est nécessaire de configurer le Security Hub CSPM manuellement.

Vérification des autorisations nécessaires

Après vous être inscrit à Amazon Web Services (AWS), vous devez activer Security Hub CSPM pour utiliser ses capacités et fonctionnalités. Pour activer Security Hub CSPM, vous devez d'abord configurer des autorisations vous permettant d'accéder à la console Security Hub CSPM et aux opérations de l'API. Vous ou votre AWS administrateur pouvez le faire en utilisant AWS Identity and Access Management (IAM) pour associer la politique AWS gérée appelée AWSSecurityHubFullAccess à votre identité IAM.

Pour activer et gérer Security Hub CSPM via l'intégration Organizations, vous devez également joindre la politique AWS gérée appelée. AWSSecurityHubOrganizationsAccess

Pour de plus amples informations, veuillez consulter AWS politiques gérées pour Security Hub.

Activation de l'intégration de Security Hub (CSPM) avec Organizations

Pour commencer à utiliser Security Hub CSPM avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur délégué du Security Hub CSPM pour l'organisation. Security Hub CSPM est automatiquement activé dans le compte d'administrateur délégué de la région actuelle.

Choisissez votre méthode préférée et suivez les étapes pour désigner l'administrateur délégué.

Security Hub CSPM console

Pour désigner l'administrateur délégué du Security Hub CSPM lors de l'intégration

1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

2. Choisissez Go to Security Hub CSPM. Vous êtes invité à vous connecter au compte de gestion des Organizations.

3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

4. Choisissez Définir un administrateur délégué.

Security Hub CSPM API

Appelez l'EnableOrganizationAdminAccountAPI depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.

AWS CLI

Exécutez la enable-organization-admin-accountcommande depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.

Exemple de commande :

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Pour plus d'informations sur l'intégration avec Organizations, consultezIntégration de Security Hub CSPM à AWS Organizations.

Configuration centrale

Lorsque vous intégrez Security Hub CSPM et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée configuration centrale pour configurer et gérer Security Hub CSPM pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centrale permet à l'administrateur délégué de configurer Security Hub CSPM sur tous les comptes OUs, et. Régions AWS L'administrateur délégué configure Security Hub CSPM en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes et OUs. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et OUs ceux qui utilisent une politique de configuration sont gérés de manière centralisée et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membre spécifiques et les désigner OUs comme étant autogérés afin de donner au membre la possibilité de configurer ses propres paramètres sur une Region-by-Region base donnée.

Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. C'est ce qu'on appelle la configuration locale. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub CSPM et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

Activation manuelle du Security Hub CSPM

Vous devez activer Security Hub CSPM manuellement si vous possédez un compte autonome ou si vous ne l'intégrez pas à. AWS Organizations Les comptes autonomes ne peuvent pas s'intégrer à l' AWS Organizations activation manuelle et doivent l'utiliser.

Lorsque vous activez le Security Hub CSPM manuellement, vous désignez un compte administrateur Security Hub CSPM et vous invitez d'autres comptes à devenir des comptes membres. La relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.

Choisissez votre méthode préférée et suivez les étapes pour activer Security Hub CSPM. Lorsque vous activez Security Hub CSPM depuis la console, vous avez également la possibilité d'activer les normes de sécurité prises en charge.

Security Hub CSPM console

1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

2. Lorsque vous ouvrez la console Security Hub CSPM pour la première fois, choisissez Go to Security Hub CSPM.

3. Sur la page d'accueil, la section Normes de sécurité répertorie les normes de sécurité prises en charge par Security Hub CSPM.

   Cochez la case correspondant à une norme pour l'activer, puis décochez-la pour la désactiver.

   Vous pouvez activer ou désactiver une norme ou ses contrôles individuels à tout moment. Pour plus d'informations sur la gestion des normes de sécurité, consultezComprendre les normes de sécurité dans Security Hub CSPM.

4. Choisissez Enable Security Hub (Activer le hub de sécurité).

Security Hub CSPM API

Appelez l'EnableSecurityHubAPI. Lorsque vous activez Security Hub CSPM depuis l'API, les normes de sécurité par défaut suivantes sont automatiquement activées :

• AWS Bonnes pratiques fondamentales en matière de sécurité

• Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

Si vous ne souhaitez pas activer ces normes, définissez EnableDefaultStandards sur false.

Vous pouvez également utiliser le Tags paramètre pour attribuer des valeurs de balise à la ressource du hub.

AWS CLI

Exécutez la commande enable-security-hub. Pour activer les normes par défaut, incluez--enable-default-standards. Pour ne pas activer les normes par défaut, incluez--no-enable-default-standards. Les normes de sécurité par défaut sont les suivantes :

• AWS Bonnes pratiques fondamentales en matière de sécurité

• Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemple

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script d'activation multi-comptes

Le script d'activation multicompte Security Hub CSPM vous GitHub permet d'activer le Security Hub CSPM sur plusieurs comptes et régions. Le script automatise également le processus d'envoi d'invitations aux comptes des membres et d'activation AWS Config.

Le script active automatiquement l'enregistrement AWS Config des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, il doit s'agir de votre région d'origine. Pour de plus amples informations, veuillez consulter Enregistrer des ressources dans AWS Config.

Il existe un script correspondant pour désactiver le Security Hub CSPM entre les comptes et les régions.

Prochaines étapes : gestion de la posture et intégrations

Après avoir activé Security Hub CSPM, nous vous recommandons d'activer les normes et les contrôles de sécurité pour surveiller votre niveau de sécurité. Une fois les contrôles activés, Security Hub CSPM commence à exécuter des contrôles de sécurité et à générer des résultats de contrôle qui vous aident à détecter les erreurs de configuration dans votre environnement. AWS Pour recevoir les résultats des contrôles, vous devez activer et configurer AWS Config le Security Hub CSPM. Pour de plus amples informations, veuillez consulter Activation et configuration AWS Config pour Security Hub CSPM.

Après avoir activé Security Hub CSPM, vous pouvez également tirer parti des intégrations entre Security Hub CSPM Services AWS et d'autres solutions tierces pour consulter leurs conclusions dans Security Hub CSPM. Security Hub CSPM regroupe les résultats provenant de différentes sources et les intègre dans un format cohérent. Pour de plus amples informations, veuillez consulter Comprendre les intégrations dans Security Hub CSPM.