Abilitazione di uno standard in più account e Regioni AWS Abilitare uno standard in un unico account e Regione AWS Verifica dello stato di uno standard

Abilitazione di uno standard di sicurezza

Quando abiliti uno standard di sicurezza in AWS Security Hub Cloud Security Posture Management (CSPM), Security Hub CSPM crea e abilita automaticamente tutti i controlli che si applicano allo standard. Security Hub CSPM inizia anche a eseguire controlli di sicurezza e a generare risultati per i controlli.

Per ottimizzare la copertura e l'accuratezza dei risultati, abilita e configura la registrazione delle risorse AWS Config prima di abilitare uno standard. Quando configurate la registrazione delle risorse, assicuratevi anche di abilitarla per tutti i tipi di risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard. Per ulteriori informazioni, consulta Abilitazione e configurazione AWS Config per Security Hub CSPM.

Dopo aver abilitato uno standard, è possibile disabilitare o riattivare successivamente i singoli controlli che si applicano allo standard. Se si disabilita un controllo per uno standard, Security Hub CSPM interrompe la generazione dei risultati per il controllo. Inoltre, Security Hub CSPM ignora il controllo quando calcola il punteggio di sicurezza per lo standard. Il punteggio di sicurezza è la percentuale di controlli che hanno superato la valutazione, rispetto al numero totale di controlli che si applicano allo standard, sono abilitati e dispongono di dati di valutazione.

Quando abiliti uno standard, Security Hub CSPM genera un punteggio di sicurezza preliminare per lo standard, in genere entro 30 minuti dalla prima visita alla pagina Riepilogo o Standard di sicurezza sulla console CSPM di Security Hub. I punteggi di sicurezza vengono generati solo per gli standard abilitati quando si visitano quelle pagine sulla console. Inoltre, per visualizzare i punteggi, è necessario configurare AWS Config la registrazione delle risorse. Nelle regioni della Cina e AWS GovCloud (US) Regions, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi un punteggio di sicurezza preliminare per uno standard. Dopo che Security Hub CSPM ha generato un punteggio preliminare, lo aggiorna ogni 24 ore. Per determinare quando un punteggio di sicurezza è stato aggiornato l'ultima volta, puoi fare riferimento a un timestamp fornito da Security Hub CSPM per il punteggio. Per ulteriori informazioni, consulta Calcolo dei punteggi di sicurezza.

Il modo in cui si abilita uno standard dipende dal fatto che si utilizzi la configurazione centrale per gestire Security Hub CSPM per più account e. Regioni AWS Si consiglia di utilizzare la configurazione centrale se si desidera abilitare gli standard in ambienti con più account e più regioni. È possibile utilizzare la configurazione centrale se si integra Security Hub CSPM con. AWS Organizations Se non si utilizza la configurazione centrale, è necessario abilitare ogni standard separatamente in ogni account e in ogni regione.

Argomenti

Abilitazione di uno standard in più account e Regioni AWS
Abilitare uno standard in un unico account e Regione AWS
Verifica dello stato di uno standard

Abilitazione di uno standard in più account e Regioni AWS

Per abilitare e configurare uno standard di sicurezza su più account e Regioni AWS utilizzare la configurazione centrale. Con la configurazione centrale, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione CSPM di Security Hub che abilitano uno o più standard. L'amministratore può quindi associare una politica di configurazione a singoli account, unità organizzative (OUs) o root. Una politica di configurazione influisce sulla regione principale, nota anche come regione di aggregazione, e su tutte le regioni collegate.

I criteri di configurazione offrono opzioni di personalizzazione. Ad esempio, è possibile scegliere di abilitare solo lo standard AWS Foundational Security Best Practices (FSBP) per un'unità organizzativa. Per un'altra unità organizzativa, è possibile scegliere di abilitare sia lo standard FSBP che lo standard Center for Internet Security (CIS) Foundations Benchmark v1.4.0. AWS Per informazioni sulla creazione di una politica di configurazione che abiliti gli standard particolari specificati dall'utente, vedere. Creazione e associazione di policy di configurazione

Se utilizzi la configurazione centrale, Security Hub CSPM non abilita automaticamente alcuno standard negli account nuovi o esistenti. Invece, l'amministratore CSPM di Security Hub specifica quali standard abilitare nei diversi account quando crea le politiche di configurazione CSPM di Security Hub per la propria organizzazione. Security Hub CSPM offre una politica di configurazione consigliata in cui è abilitato solo lo standard FSBP. Per ulteriori informazioni, consulta Tipi di politiche di configurazione.

Nota

L'amministratore CSPM di Security Hub può utilizzare le politiche di configurazione per abilitare qualsiasi standard tranne lo standard gestito dai AWS Control Tower servizi. Per abilitare questo standard, l'amministratore deve utilizzare direttamente. AWS Control Tower Devono AWS Control Tower inoltre abilitare o disabilitare i singoli controlli di questo standard per un account gestito centralmente.

Se desideri che alcuni account abilitino e configurino gli standard per i propri account, l'amministratore CSPM di Security Hub può designare tali account come account autogestiti. Gli account autogestiti devono abilitare e configurare gli standard separatamente in ciascuna regione.

Abilitare uno standard in un unico account e Regione AWS

Se non utilizzi la configurazione centrale o disponi di un account autogestito, non puoi utilizzare le policy di configurazione per abilitare centralmente gli standard di sicurezza in più account o Regioni AWS. Tuttavia, puoi abilitare uno standard in un unico account e regione. È possibile farlo utilizzando la console CSPM di Security Hub o l'API CSPM di Security Hub.

Security Hub CSPM console

Segui questi passaggi per abilitare uno standard in un account e in una regione utilizzando la console Security Hub CSPM.

Per abilitare uno standard in un account e in un'unica regione

Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/
Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, scegli la regione in cui desideri abilitare lo standard.
Nel riquadro di navigazione, scegli Standard di sicurezza. La pagina degli standard di sicurezza elenca tutti gli standard attualmente supportati da Security Hub CSPM. Se hai già abilitato uno standard, la sezione relativa allo standard include il punteggio di sicurezza corrente e dettagli aggiuntivi per lo standard.
Nella sezione relativa allo standard che desideri abilitare, scegli Abilita standard.

Per abilitare lo standard in altre regioni, ripeti i passaggi precedenti in ogni regione aggiuntiva.

Security Hub CSPM API

Per abilitare uno standard a livello di codice in un singolo account e regione, usa l'operazione. BatchEnableStandards Oppure, se stai usando il AWS Command Line Interface (AWS CLI), esegui il batch-enable-standardscomando.

Nella tua richiesta, utilizza il StandardsArn parametro per specificare l'Amazon Resource Name (ARN) dello standard che desideri abilitare. Specificate anche la regione a cui si riferisce la richiesta. Ad esempio, il comando seguente abilita lo standard AWS Foundational Security Best Practices (FSBP):


$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0Dov'è l'ARN dello standard FSBP nella regione Stati Uniti orientali (Virginia settentrionale) ed us-east-1 è la regione in cui abilitarlo.

Per ottenere l'ARN per uno standard, usa l'DescribeStandardsoperazione o, se stai usando il AWS CLI, esegui il comando. describe-standards

Per esaminare innanzitutto un elenco di standard attualmente abilitati nel tuo account, puoi utilizzare l'GetEnabledStandardsoperazione. Se stai usando AWS CLI, puoi eseguire il get-enabled-standardscomando per recuperare questo elenco.

Dopo aver abilitato uno standard, Security Hub CSPM inizia a eseguire attività per abilitare lo standard nell'account e nella regione specificata. Ciò include la creazione di tutti i controlli che si applicano allo standard. Per monitorare lo stato di queste attività, puoi controllare lo stato dello standard per l'account e la regione.

Verifica dello stato di uno standard

Quando abiliti uno standard di sicurezza per un account, Security Hub CSPM inizia a creare tutti i controlli che si applicano allo standard nell'account. Security Hub CSPM esegue anche attività aggiuntive per abilitare lo standard per l'account, come la generazione di un punteggio di sicurezza preliminare per lo standard. Sebbene Security Hub CSPM esegua queste attività, lo stato dello standard è Pendingrelativo all'account. Lo stato dello standard passa quindi attraverso stati aggiuntivi, che è possibile monitorare e controllare.

Nota

Le modifiche ai singoli controlli di uno standard non influiscono sullo stato generale dello standard. Ad esempio, se abiliti un controllo precedentemente disabilitato, la modifica non influisce sullo stato dello standard. Allo stesso modo, se modifichi il valore di un parametro per un controllo abilitato, la modifica non influisce sullo stato dello standard.

Per verificare lo stato di uno standard utilizzando la console CSPM di Security Hub, scegli Standard di sicurezza nel riquadro di navigazione. La pagina degli standard di sicurezza elenca tutti gli standard attualmente supportati da Security Hub CSPM. Se Security Hub CSPM sta attualmente eseguendo attività per abilitare lo standard, la sezione relativa allo standard indica che Security Hub CSPM sta ancora generando un punteggio di sicurezza per lo standard. Se uno standard è abilitato, la sezione relativa allo standard include il punteggio corrente. Scegli Visualizza risultati per esaminare ulteriori dettagli, incluso lo stato dei singoli controlli che si applicano allo standard. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.

Per verificare lo stato di uno standard a livello di codice con l'API CSPM Security Hub, utilizzare l'operazione. GetEnabledStandards Nella tua richiesta, utilizza facoltativamente il StandardsSubscriptionArns parametro per specificare l'Amazon Resource Name (ARN) dello standard di cui desideri controllare lo stato. Se stai usando il AWS Command Line Interface (AWS CLI), puoi eseguire il get-enabled-standardscomando per verificare lo stato di uno standard. Per specificare l'ARN dello standard da controllare, utilizzare il standards-subscription-arns parametro. Per determinare l'ARN da specificare, è possibile utilizzare l'DescribeStandardsoperazione o, per la AWS CLI, eseguire il describe-standardscomando.

Se la richiesta ha esito positivo, Security Hub CSPM risponde con una serie di oggetti. StandardsSubscription Un abbonamento standard è una AWS risorsa che Security Hub CSPM crea in un account quando uno standard è abilitato per l'account. Ogni StandardsSubscription oggetto fornisce dettagli su uno standard attualmente abilitato o in fase di attivazione o disabilitazione per l'account. All'interno di ogni oggetto, il StandardsStatus campo specifica lo stato corrente dello standard per l'account.

Lo stato di uno standard (StandardsStatus) può essere uno dei seguenti.

PENDING

Security Hub CSPM sta attualmente eseguendo attività per abilitare lo standard per l'account. Ciò include la creazione dei controlli che si applicano allo standard e la generazione di un punteggio di sicurezza preliminare per lo standard. Security Hub CSPM può impiegare diversi minuti per completare tutte le attività. Uno standard può avere questo stato anche se è già abilitato per l'account e Security Hub CSPM sta attualmente aggiungendo nuovi controlli allo standard.

Se uno standard ha questo stato, potresti non essere in grado di recuperare i dettagli dei singoli controlli che si applicano allo standard. Inoltre, potresti non essere in grado di configurare o disabilitare i singoli controlli per lo standard. Ad esempio, se si tenta di disabilitare un controllo utilizzando l'UpdateStandardsControloperazione, si verifica un errore.

Per determinare se è possibile configurare o gestire in altro modo i singoli controlli per lo standard, fate riferimento al valore del StandardsControlsUpdatable campo. Se il valore di questo campo èREADY_FOR_UPDATES, puoi iniziare a gestire i singoli controlli per lo standard. Altrimenti, attendi che Security Hub CSPM completi le attività di elaborazione aggiuntive per abilitare lo standard.

READY

Lo standard è attualmente abilitato per l'account. Security Hub CSPM può eseguire controlli di sicurezza e generare risultati per tutti i controlli che si applicano allo standard e sono attualmente abilitati. Security Hub CSPM può anche calcolare un punteggio di sicurezza per lo standard.

Se uno standard ha questo stato, è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard. Inoltre, puoi configurare, disabilitare o riattivare i controlli. Puoi anche disabilitare lo standard.

INCOMPLETE

Security Hub CSPM non è stato in grado di abilitare completamente lo standard per l'account. Security Hub CSPM non può eseguire controlli di sicurezza e generare risultati per tutti i controlli che si applicano allo standard e sono attualmente abilitati. Inoltre, Security Hub CSPM non è in grado di calcolare un punteggio di sicurezza per lo standard.

Per determinare il motivo per cui lo standard non è stato abilitato completamente, fai riferimento alle informazioni nell'StandardsStatusReasonarray. Questo array specifica i problemi che hanno impedito a Security Hub CSPM di abilitare lo standard. Se si è verificato un errore interno, prova ad abilitare nuovamente lo standard per l'account. Per altri tipi di problemi, controlla AWS Config le tue impostazioni. Puoi anche disabilitare i singoli controlli che non desideri controllare o disabilitare completamente lo standard.

DELETING

Security Hub CSPM sta attualmente elaborando una richiesta per disabilitare lo standard per l'account. Ciò include la disabilitazione dei controlli che si applicano allo standard e la rimozione del punteggio di sicurezza associato. Il completamento dell'elaborazione della richiesta da parte di Security Hub CSPM può richiedere alcuni minuti.

Se uno standard ha questo stato, non puoi riattivarlo o provare a disabilitarlo nuovamente per l'account. Security Hub CSPM deve prima completare l'elaborazione della richiesta corrente. Inoltre, non è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard o gestire i controlli.

FAILED

Security Hub CSPM non è stato in grado di disabilitare lo standard per l'account. Si sono verificati uno o più errori quando Security Hub CSPM ha tentato di disabilitare lo standard. Inoltre, Security Hub CSPM non è in grado di calcolare un punteggio di sicurezza per lo standard.

Per determinare il motivo per cui lo standard non è stato completamente disabilitato, fai riferimento alle informazioni nell'StandardsStatusReasonarray. Questo array specifica i problemi che hanno impedito a Security Hub CSPM di disabilitare lo standard.

Se uno standard ha questo stato, non è possibile recuperare i dettagli dei singoli controlli che si applicano allo standard o gestire i controlli. Tuttavia, puoi riattivare lo standard per l'account. Se risolvi i problemi che hanno impedito a Security Hub CSPM di disabilitare lo standard, puoi anche provare a disabilitare nuovamente lo standard.

Se lo stato di uno standard èREADY, Security Hub CSPM esegue controlli di sicurezza e genera risultati per tutti i controlli che si applicano allo standard e che sono attualmente abilitati. Per altri stati, Security Hub CSPM potrebbe eseguire controlli e generare risultati per alcuni, ma non tutti, i controlli abilitati. La generazione o l'aggiornamento dei risultati dei controlli possono richiedere fino a 24 ore. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Standard di gestione dei servizi: AWS Control Tower

Revisione dei dettagli di uno standard