Mengaktifkan Security Hub CSPM - AWS Security Hub
Memverifikasi izin yang diperlukanMengaktifkan CSPM Security Hub dengan Integrasi OrganizationsMengaktifkan Security Hub CSPM secara manualLangkah selanjutnya: Manajemen dan integrasi postur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan Security Hub CSPM

Ada dua cara untuk mengaktifkan AWS Security Hub Cloud Security Posture Management (CSPM), dengan mengintegrasikan dengan AWS Organizations atau secara manual.

Kami sangat menyarankan untuk berintegrasi dengan Organizations untuk lingkungan multi-akun dan Multi-wilayah. Jika Anda memiliki akun mandiri, Anda perlu menyiapkan Security Hub CSPM secara manual.

Memverifikasi izin yang diperlukan

Setelah mendaftar Amazon Web Services (AWS), Anda harus mengaktifkan Security Hub CSPM untuk menggunakan kemampuan dan fitur-fiturnya. Untuk mengaktifkan CSPM Security Hub, pertama-tama Anda harus menyiapkan izin yang memungkinkan Anda mengakses konsol CSPM Security Hub dan operasi API. Anda atau AWS administrator Anda dapat melakukan ini dengan menggunakan AWS Identity and Access Management (IAM) untuk melampirkan kebijakan AWS terkelola yang dipanggil AWSSecurityHubFullAccess ke identitas IAM Anda.

Untuk mengaktifkan dan mengelola Security Hub CSPM melalui integrasi Organizations, Anda juga harus melampirkan kebijakan AWS terkelola yang disebut. AWSSecurityHubOrganizationsAccess

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk Security Hub.

Mengaktifkan CSPM Security Hub dengan Integrasi Organizations

Untuk mulai menggunakan CSPM Security Hub AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator CSPM Security Hub yang didelegasikan untuk organisasi. Security Hub CSPM secara otomatis diaktifkan di akun administrator yang didelegasikan di Wilayah saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menunjuk administrator yang didelegasikan.

Security Hub CSPM console
Untuk menunjuk administrator CSPM Security Hub yang didelegasikan saat melakukan orientasi

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Pilih Buka Security Hub CSPM. Anda diminta untuk masuk ke akun manajemen Organisasi.

  3. Pada halaman Tentukan administrator yang didelegasikan, di bagian Akun administrator yang didelegasikan, tentukan akun administrator yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

  4. Pilih Setel administrator yang didelegasikan.

Security Hub CSPM API

Memanggil EnableOrganizationAdminAccountAPI dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

AWS CLI

Jalankan enable-organization-admin-accountperintah dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan CSPM Security Hub.

Contoh perintah:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Untuk informasi selengkapnya tentang integrasi dengan Organizations, lihatMengintegrasikan CSPM Security Hub dengan AWS Organizations.

Konfigurasi pusat

Saat mengintegrasikan Security Hub CSPM dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut konfigurasi pusat untuk menyiapkan dan mengelola CSPM Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi CSPM Security Hub di seluruh akun,, OUs dan. Wilayah AWS Administrator yang didelegasikan mengonfigurasi CSPM Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:

  • Apakah CSPM Security Hub diaktifkan atau dinonaktifkan

  • Standar keamanan mana yang diaktifkan dan dinonaktifkan

  • Kontrol keamanan mana yang diaktifkan dan dinonaktifkan

  • Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun dan OUs. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OUs yang menggunakan kebijakan konfigurasi dikelola secara terpusat dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OUs dikelola sendiri untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan suatu dasar. Region-by-Region

Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengonfigurasi CSPM Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut konfigurasi lokal. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Mengaktifkan Security Hub CSPM secara manual

Anda harus mengaktifkan Security Hub CSPM secara manual jika Anda memiliki akun mandiri, atau jika Anda tidak mengintegrasikan dengan. AWS Organizations Akun mandiri tidak dapat diintegrasikan dengan AWS Organizations dan harus menggunakan pengaktifan manual.

Saat mengaktifkan CSPM Security Hub secara manual, Anda menetapkan akun administrator CSPM Security Hub dan mengundang akun lain untuk menjadi akun anggota. Hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan Security Hub CSPM. Saat mengaktifkan CSPM Security Hub dari konsol, Anda juga memiliki opsi untuk mengaktifkan standar keamanan yang didukung.

Security Hub CSPM console

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Saat Anda membuka konsol CSPM Security Hub untuk pertama kalinya, pilih Buka CSPM Security Hub.

  3. Pada halaman selamat datang, bagian Standar keamanan mencantumkan standar keamanan yang didukung Security Hub CSPM.

    Pilih kotak centang untuk standar untuk mengaktifkannya, dan kosongkan kotak centang untuk menonaktifkannya.

    Anda dapat mengaktifkan atau menonaktifkan standar atau kontrol individualnya kapan saja. Untuk informasi tentang mengelola standar keamanan, lihatMemahami standar keamanan di Security Hub CSPM.

  4. Pilih Aktifkan Security Hub.

Security Hub CSPM API

Memanggil EnableSecurityHubAPI. Bila Anda mengaktifkan Security Hub CSPM dari API, maka secara otomatis mengaktifkan standar keamanan default berikut:

  • AWS Praktik Terbaik Keamanan Dasar

  • Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

Jika Anda tidak ingin mengaktifkan standar ini, maka atur EnableDefaultStandards kefalse.

Anda juga dapat menggunakan Tags parameter untuk menetapkan nilai tag ke sumber daya hub.

AWS CLI

Jalankan perintah enable-security-hub. Untuk mengaktifkan standar default, sertakan--enable-default-standards. Untuk tidak mengaktifkan standar default, sertakan--no-enable-default-standards. Standar keamanan default adalah sebagai berikut:

  • AWS Praktik Terbaik Keamanan Dasar

  • Tolok Ukur AWS Yayasan Pusat Keamanan Internet (CIS) v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Contoh

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Skrip pengaktifan multi-akun

catatan

Alih-alih skrip ini, sebaiknya gunakan konfigurasi pusat untuk mengaktifkan dan mengkonfigurasi CSPM Security Hub di beberapa akun dan Wilayah.

Skrip pengaktifan multi-akun Security Hub CSPM GitHub memungkinkan Anda mengaktifkan CSPM Security Hub di seluruh akun dan Wilayah. Skrip ini juga mengotomatiskan proses pengiriman undangan ke akun anggota dan mengaktifkan. AWS Config

Skrip secara otomatis memungkinkan perekaman AWS Config sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Ini tidak membatasi pencatatan sumber daya global ke satu Wilayah. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, ini harus menjadi Wilayah asal Anda. Untuk informasi selengkapnya, lihat Merekam sumber daya di AWS Config.

Ada skrip yang sesuai untuk menonaktifkan CSPM Security Hub di seluruh akun dan Wilayah.

Langkah selanjutnya: Manajemen dan integrasi postur

Setelah mengaktifkan Security Hub CSPM, sebaiknya aktifkan standar keamanan dan kontrol untuk memantau postur keamanan Anda. Setelah Anda mengaktifkan kontrol, Security Hub CSPM mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan kontrol yang membantu Anda mendeteksi kesalahan konfigurasi di lingkungan Anda. AWS Untuk menerima temuan kontrol, Anda harus mengaktifkan dan mengkonfigurasi AWS Config untuk Security Hub CSPM. Untuk informasi selengkapnya, lihat Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM.

Setelah mengaktifkan Security Hub CSPM, Anda juga dapat memanfaatkan integrasi antara Security Hub CSPM dan solusi pihak ketiga lainnya Layanan AWS untuk melihat temuan mereka di Security Hub CSPM. Security Hub CSPM mengumpulkan temuan dari berbagai sumber dan mencernanya dalam format yang konsisten. Lihat informasi yang lebih lengkap di Memahami integrasi dalam Security Hub CSPM.