Menonaktifkan standar keamanan - AWS Security Hub
Menonaktifkan standar di beberapa akun dan Wilayah AWSMenonaktifkan standar dalam satu akun dan Wilayah AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menonaktifkan standar keamanan

Saat Anda menonaktifkan standar keamanan di AWS Security Hub Cloud Security Posture Management (CSPM), hal berikut akan terjadi:

  • Semua kontrol yang berlaku untuk standar dinonaktifkan, kecuali jika diasosiasikan dengan standar lain yang saat ini diaktifkan.

  • Pemeriksaan keamanan untuk kontrol yang dinonaktifkan tidak lagi dilakukan, dan tidak ada temuan tambahan yang dihasilkan untuk kontrol yang dinonaktifkan.

  • Temuan yang ada untuk kontrol yang dinonaktifkan diarsipkan secara otomatis setelah sekitar 3-5 hari.

  • AWS Config aturan bahwa Security Hub CSPM dibuat untuk kontrol yang dinonaktifkan dihapus.

Penghapusan AWS Config aturan yang sesuai biasanya terjadi dalam beberapa menit setelah menonaktifkan standar. Namun, mungkin butuh waktu lebih lama. Jika permintaan pertama gagal menghapus aturan, Security Hub CSPM mencoba lagi setiap 12 jam. Namun, jika Anda menonaktifkan CSPM Security Hub atau tidak mengaktifkan standar lain, CSPM Security Hub tidak dapat mencoba lagi, yang berarti tidak dapat menghapus aturan. Jika ini terjadi dan Anda perlu menghapus aturan, hubungi AWS Dukungan.

Menonaktifkan standar di beberapa akun dan Wilayah AWS

Untuk menonaktifkan standar keamanan di beberapa akun dan Wilayah AWS, gunakan konfigurasi pusat. Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan satu atau beberapa standar. Administrator kemudian dapat mengaitkan kebijakan konfigurasi dengan akun individu, unit organisasi (OUs), atau root. Kebijakan konfigurasi memengaruhi Wilayah asal, juga disebut sebagai Wilayah agregasi, dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan opsi penyesuaian. Misalnya, Anda dapat memilih untuk menonaktifkan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dalam satu OU. Untuk OU lain, Anda dapat memilih untuk menonaktifkan standar PCI DSS dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Untuk informasi tentang membuat kebijakan konfigurasi yang mengaktifkan atau menonaktifkan standar individual yang Anda tentukan, lihatMembuat dan mengaitkan kebijakan konfigurasi.

catatan

Administrator CSPM Security Hub dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar apa pun kecuali standar yang dikelola AWS Control Tower layanan. Untuk menonaktifkan standar ini, administrator harus menggunakan AWS Control Tower secara langsung. Mereka juga harus menggunakan AWS Control Tower untuk menonaktifkan atau mengaktifkan kontrol individu dalam standar ini untuk akun yang dikelola secara terpusat.

Jika Anda ingin beberapa akun mengonfigurasi atau menonaktifkan standar untuk akun mereka sendiri, administrator CSPM Security Hub dapat menetapkan akun tersebut sebagai akun yang dikelola sendiri. Akun yang dikelola sendiri harus menonaktifkan standar secara terpisah di setiap Wilayah.

Menonaktifkan standar dalam satu akun dan Wilayah AWS

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar keamanan secara terpusat di beberapa akun atau. Wilayah AWS Namun, Anda dapat menonaktifkan standar dalam satu akun dan Wilayah. Anda dapat melakukannya dengan menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

Security Hub CSPM console

Ikuti langkah-langkah ini untuk menonaktifkan standar dalam satu akun dan Wilayah dengan menggunakan konsol CSPM Security Hub.

Untuk menonaktifkan standar dalam satu akun dan Wilayah

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin menonaktifkan standar.

  3. Di panel navigasi, pilih Standar keamanan.

  4. Di bagian untuk standar yang ingin Anda nonaktifkan, pilih Nonaktifkan standar.

Untuk menonaktifkan standar di Wilayah tambahan, ulangi langkah-langkah sebelumnya di setiap Wilayah tambahan.

Security Hub CSPM API

Untuk menonaktifkan standar secara terprogram dalam satu akun dan Wilayah, gunakan operasi. BatchDisableStandards Atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan batch-disable-standardsperintah.

Dalam permintaan Anda, gunakan StandardsSubscriptionArns parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda nonaktifkan. Jika Anda menggunakan AWS CLI, gunakan standards-subscription-arns parameter untuk menentukan ARN. Tentukan juga Wilayah tempat permintaan Anda berlaku. Misalnya, perintah berikut menonaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP) untuk akun (): 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

Di arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 mana ARN standar FSBP untuk akun di Wilayah AS Timur (Virginia N.), dan us-east-1 merupakan Wilayah untuk menonaktifkannya.

Untuk mendapatkan ARN untuk standar, Anda dapat menggunakan operasi. GetEnabledStandards Operasi ini mengambil informasi tentang standar yang saat ini diaktifkan di akun Anda. Jika Anda menggunakan AWS CLI, Anda dapat menjalankan get-enabled-standardsperintah untuk mengambil informasi ini.

Setelah Anda menonaktifkan standar, Security Hub CSPM mulai melakukan tugas untuk menonaktifkan standar di akun dan Wilayah yang ditentukan. Ini termasuk menonaktifkan semua kontrol yang berlaku untuk standar. Untuk memantau status tugas-tugas ini, Anda dapat memeriksa status standar untuk akun dan Wilayah.