Disabilitazione di uno standard di sicurezza - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disabilitazione di uno standard di sicurezza

Quando si disabilita uno standard di sicurezza in AWS Security Hub Cloud Security Posture Management (CSPM), si verifica quanto segue:

  • Tutti i controlli che si applicano allo standard sono disabilitati, a meno che non siano associati a un altro standard attualmente abilitato.

  • I controlli di sicurezza per i controlli disattivati non vengono più eseguiti e non vengono generati risultati aggiuntivi per i controlli disattivati.

  • I risultati esistenti relativi ai controlli disattivati vengono archiviati automaticamente dopo circa 3-5 giorni.

  • AWS Config le regole che Security Hub CSPM ha creato per i controlli disabilitati vengono eliminate.

L'eliminazione delle AWS Config regole appropriate avviene in genere entro pochi minuti dalla disattivazione di uno standard. Tuttavia, l'operazione potrebbe richiedere più tempo. Se la prima richiesta non riesce a eliminare le regole, Security Hub CSPM riprova ogni 12 ore. Tuttavia, se hai disabilitato Security Hub CSPM o non hai abilitato nessun altro standard, Security Hub CSPM non può riprovare, il che significa che non può eliminare le regole. Se ciò si verifica e devi eliminare le regole, contatta. Supporto AWS

Disabilitazione di uno standard in più account e Regioni AWS

Per disabilitare uno standard di sicurezza su più account e utilizzare Regioni AWS la configurazione centrale. Con la configurazione centrale, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione CSPM di Security Hub che disabilitano uno o più standard. L'amministratore può quindi associare una politica di configurazione a singoli account, unità organizzative (OUs) o root. Una politica di configurazione influisce sulla regione principale, nota anche come regione di aggregazione, e su tutte le regioni collegate.

I criteri di configurazione offrono opzioni di personalizzazione. Ad esempio, è possibile scegliere di disabilitare il Payment Card Industry Data Security Standard (PCI DSS) in un'unica unità organizzativa. Per un'altra unità organizzativa, è possibile scegliere di disabilitare sia lo standard PCI DSS che lo standard SP 800-53 Rev. 5 del National Institute of Standards and Technology (NIST). Per informazioni sulla creazione di una politica di configurazione che abiliti o disabiliti i singoli standard specificati, vedere. Creazione e associazione di policy di configurazione

Nota

L'amministratore CSPM di Security Hub può utilizzare le politiche di configurazione per disabilitare qualsiasi standard tranne lo standard gestito dai AWS Control Tower servizi. Per disabilitare questo standard, l'amministratore deve utilizzare direttamente. AWS Control Tower Devono inoltre AWS Control Tower disabilitare o abilitare i controlli individuali di questo standard per un account gestito centralmente.

Se desideri che alcuni account configurino o disabilitino gli standard per i propri account, l'amministratore CSPM di Security Hub può designare tali account come account autogestiti. Gli account autogestiti devono disabilitare gli standard separatamente in ciascuna regione.

Disabilitazione di uno standard in un unico account e Regione AWS

Se non utilizzi la configurazione centrale o disponi di un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente gli standard di sicurezza in più account o. Regioni AWS Tuttavia, puoi disabilitare uno standard in un unico account e regione. È possibile farlo utilizzando la console CSPM di Security Hub o l'API CSPM di Security Hub.

Security Hub CSPM console

Segui questi passaggi per disabilitare uno standard in un account e in una regione utilizzando la console Security Hub CSPM.

Per disabilitare uno standard in un account e in una regione
  1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri disabilitare lo standard.

  3. Nel pannello di navigazione, scegli Standard di sicurezza.

  4. Nella sezione relativa allo standard che desideri disabilitare, scegli Disabilita standard.

Per disabilitare lo standard in altre regioni, ripeti i passaggi precedenti in ogni regione aggiuntiva.

Security Hub CSPM API

Per disabilitare uno standard a livello di codice in un singolo account e regione, usa l'operazione. BatchDisableStandards Oppure, se stai usando il AWS Command Line Interface (AWS CLI), esegui il batch-disable-standardscomando.

Nella tua richiesta, utilizza il StandardsSubscriptionArns parametro per specificare l'Amazon Resource Name (ARN) dello standard che desideri disabilitare. Se si utilizza il AWS CLI, utilizzare il standards-subscription-arns parametro per specificare l'ARN. Specificate anche la regione a cui si riferisce la richiesta. Ad esempio, il comando seguente disabilita lo standard AWS Foundational Security Best Practices (FSBP) per un account (): 123456789012

$ aws securityhub batch-disable-standards \ --standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \ --region us-east-1

arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0Dov'è l'ARN dello standard FSBP per l'account nella regione Stati Uniti orientali (Virginia settentrionale) ed us-east-1 è la regione in cui disabilitarlo.

Per ottenere l'ARN per uno standard, è possibile utilizzare l'GetEnabledStandardsoperazione. Questa operazione recupera informazioni sugli standard attualmente abilitati nel tuo account. Se utilizzi il AWS CLI, puoi eseguire il get-enabled-standardscomando per recuperare queste informazioni.

Dopo aver disabilitato uno standard, Security Hub CSPM inizia a eseguire attività per disabilitare lo standard nell'account e nella regione specificata. Ciò include la disabilitazione di tutti i controlli che si applicano allo standard. Per monitorare lo stato di queste attività, puoi controllare lo stato dello standard per l'account e la regione.