Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol yang disarankan untuk dinonaktifkan di CSPM Security Hub
Sebaiknya nonaktifkan beberapa kontrol CSPM AWS Security Hub untuk mengurangi kebisingan dan biaya penggunaan.
Kontrol yang menggunakan sumber daya global
Beberapa Layanan AWS mendukung sumber daya global, yang berarti Anda dapat mengakses sumber daya dari mana pun Wilayah AWS. Untuk menghemat biaya AWS Config, Anda dapat menonaktifkan perekaman sumber daya global di semua kecuali satu Wilayah. Namun, setelah Anda melakukan ini, Security Hub CSPM masih menjalankan pemeriksaan keamanan di semua Wilayah di mana kontrol diaktifkan dan menagih Anda berdasarkan jumlah cek per akun per Wilayah. Dengan demikian, untuk mengurangi kebisingan dan menghemat biaya CSPM Security Hub, Anda juga harus menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah yang mencatat sumber daya global.
Jika kontrol melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah, menonaktifkannya di Wilayah tersebut mencegah Anda mendapatkan temuan apa pun untuk sumber daya yang mendasarinya. Dalam hal ini, kami sarankan untuk tetap mengaktifkan kontrol. Saat menggunakan agregasi lintas wilayah, Wilayah di mana kontrol tersedia harus merupakan Wilayah agregasi atau salah satu Wilayah yang ditautkan. Kontrol berikut melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah:
Semua CloudFront kontrol - Hanya tersedia di Wilayah AS Timur (Virginia N.)
GlobalAccelerator.1 — Hanya tersedia di Wilayah AS Barat (Oregon)
Route53.2 - Hanya tersedia di Wilayah AS Timur (Virginia N.)
WAF.1, WAF.6, WAF.7, WAF.8 - Hanya tersedia di Wilayah AS Timur (Virginia N.)
catatan
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.
Untuk informasi selengkapnya tentang konfigurasi pusat, lihatMemahami konfigurasi pusat di Security Hub CSPM.
Untuk kontrol yang memiliki jenis jadwal periodik, menonaktifkannya di Security Hub CSPM diperlukan untuk mencegah penagihan. Menyetel AWS Config parameter includeGlobalResourceTypes ke false tidak memengaruhi kontrol CSPM Security Hub berkala.
Kontrol CSPM Security Hub berikut menggunakan sumber daya global:
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan
-
[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat
-
[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan
-
[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
CloudTrail kontrol logging
Kontrol ini berkaitan dengan penggunaan AWS Key Management Service (AWS KMS) untuk mengenkripsi log AWS CloudTrail jejak. Jika Anda mencatat jejak ini di akun logging terpusat, Anda harus mengaktifkan kontrol ini hanya di akun dan Wilayah tempat pencatatan terpusat berlangsung.
catatan
Jika Anda menggunakan konfigurasi pusat, status pengaktifan kontrol disejajarkan di seluruh Wilayah beranda dan Wilayah yang ditautkan. Anda tidak dapat menonaktifkan kontrol di beberapa Wilayah dan mengaktifkannya di wilayah lain. Dalam hal ini, tekan temuan dari kontrol berikut untuk mengurangi kebisingan temuan.
CloudWatch kontrol alarm
Jika Anda lebih suka menggunakan Amazon GuardDuty untuk deteksi anomali daripada CloudWatch alarm Amazon, Anda dapat menonaktifkan kontrol berikut, yang berfokus pada alarm: CloudWatch
-
[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
-
[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah
-
[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
-
[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM
-
[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi
-
[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
-
[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi
-
[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
-
[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan
-
[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
-
[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
