Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione del Security Hub CSPM

Esistono due modi per abilitare AWS Security Hub Cloud Security Posture Management (CSPM), mediante integrazione o manualmente. AWS Organizations

Consigliamo vivamente l'integrazione con Organizations per ambienti con più account e più regioni. Se si dispone di un account indipendente, è necessario configurare manualmente Security Hub CSPM.

Verifica delle autorizzazioni necessarie

Dopo esserti registrato ad Amazon Web Services (AWS), devi abilitare Security Hub CSPM per utilizzarne le funzionalità e le caratteristiche. Per abilitare Security Hub CSPM, devi prima configurare le autorizzazioni che ti consentano di accedere alla console CSPM di Security Hub e alle operazioni API. Tu o il tuo AWS amministratore potete farlo utilizzando AWS Identity and Access Management (IAM) per allegare la policy AWS gestita chiamata AWSSecurityHubFullAccess alla vostra identità IAM.

Per abilitare e gestire Security Hub CSPM tramite l'integrazione Organizations, è inoltre necessario allegare la policy AWS gestita denominata. AWSSecurityHubOrganizationsAccess

Per ulteriori informazioni, consulta AWS politiche gestite per Security Hub.

Abilitazione del Security Hub CSPM con l'integrazione Organizations

Per iniziare a utilizzare Security Hub CSPM con AWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore CSPM di Security Hub delegato per l'organizzazione. Security Hub CSPM viene abilitato automaticamente nell'account amministratore delegato nella regione corrente.

Scegliete il metodo preferito e seguite i passaggi per designare l'amministratore delegato.

Security Hub CSPM console

Per designare l'amministratore CSPM delegato del Security Hub al momento dell'onboarding

1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

2. Scegli Vai a Security Hub CSPM. Ti viene richiesto di accedere all'account di gestione Organizations.

3. Nella pagina Designa amministratore delegato, nella sezione Account amministratore delegato, specifica l'account amministratore delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

4. Scegli Imposta amministratore delegato.

Security Hub CSPM API

Richiama l'EnableOrganizationAdminAccountAPI dall'account di gestione Organizations. Fornisci l' Account AWS ID dell'account amministratore delegato CSPM di Security Hub.

AWS CLI

Esegui il enable-organization-admin-accountcomando dall'account di gestione Organizations. Fornisci l' Account AWS ID dell'account amministratore delegato CSPM di Security Hub.

Comando di esempio:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Per ulteriori informazioni sull'integrazione con Organizations, vedereIntegrazione del Security Hub CSPM con AWS Organizations.

Configurazione centrale

Quando integri Security Hub CSPM e Organizations, hai la possibilità di utilizzare una funzionalità chiamata configurazione centrale per configurare e gestire Security Hub CSPM per la tua organizzazione. Consigliamo vivamente di utilizzare la configurazione centrale perché consente all'amministratore di personalizzare la copertura di sicurezza per l'organizzazione. Se del caso, l'amministratore delegato può consentire a un account membro di configurare le proprie impostazioni di copertura di sicurezza.

La configurazione centrale consente all'amministratore delegato di configurare Security Hub CSPM tra gli account e. OUs Regioni AWS L'amministratore delegato configura Security Hub CSPM creando policy di configurazione. All'interno di una politica di configurazione, è possibile specificare le seguenti impostazioni:

In qualità di amministratore delegato, puoi creare un'unica politica di configurazione per l'intera organizzazione o politiche di configurazione diverse per i vari account e OUs. Ad esempio, gli account di test e gli account di produzione possono utilizzare politiche di configurazione diverse.

Gli account dei membri e OUs che utilizzano una politica di configurazione sono gestiti centralmente e possono essere configurati solo dall'amministratore delegato. L'amministratore delegato può designare account membri specifici e OUs gestirli autonomamente per dare al membro la possibilità di configurare le proprie impostazioni su base individuale. Region-by-Region

Se non si utilizza la configurazione centrale, è necessario configurare principalmente Security Hub CSPM separatamente in ogni account e regione. Questa è chiamata configurazione locale. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.

Abilitazione manuale del Security Hub CSPM

È necessario abilitare Security Hub CSPM manualmente se si dispone di un account autonomo o se non si esegue l'integrazione con. AWS Organizations Gli account autonomi non possono integrarsi AWS Organizations e devono utilizzare l'abilitazione manuale.

Quando si abilita Security Hub CSPM manualmente, si designa un account amministratore CSPM di Security Hub e si invitano altri account a diventare account membri. La relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.

Scegli il tuo metodo preferito e segui i passaggi per abilitare Security Hub CSPM. Quando abiliti Security Hub CSPM dalla console, hai anche la possibilità di abilitare gli standard di sicurezza supportati.

Security Hub CSPM console

1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

2. Quando apri la console Security Hub CSPM per la prima volta, scegli Vai a Security Hub CSPM.

3. Nella pagina di benvenuto, la sezione Standard di sicurezza elenca gli standard di sicurezza supportati da Security Hub CSPM.

   Seleziona la casella di controllo relativa a uno standard per abilitarlo e deseleziona la casella di controllo per disabilitarlo.

   È possibile abilitare o disabilitare uno standard o i relativi controlli singoli in qualsiasi momento. Per informazioni sulla gestione degli standard di sicurezza, vedereComprensione degli standard di sicurezza in Security Hub CSPM.

4. Scegliere Enable Security Hub (Abilita Security Hub).

Security Hub CSPM API

Richiama l'EnableSecurityHubAPI. Quando abiliti Security Hub CSPM dall'API, abilita automaticamente i seguenti standard di sicurezza predefiniti:

• AWS Le migliori pratiche di sicurezza di base

• Benchmark v1.2.0 dei AWS fondamenti del Center for Internet Security (CIS)

Se non desideri abilitare questi standard, imposta EnableDefaultStandards su false.

È inoltre possibile utilizzare il Tags parametro per assegnare i valori dei tag alla risorsa dell'hub.

AWS CLI

Esegui il comando enable-security-hub. Per abilitare gli standard predefiniti, --enable-default-standards includi. Per non abilitare gli standard predefiniti, includi--no-enable-default-standards. Gli standard di sicurezza predefiniti sono i seguenti:

• AWS Best practice di sicurezza di base

• Benchmark v1.2.0 dei AWS fondamenti del Center for Internet Security (CIS)

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Esempio

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script di abilitazione per più account

Lo script di abilitazione multi-account Security Hub CSPM GitHub consente di abilitare Security Hub CSPM tra account e regioni. Lo script automatizza anche il processo di invio e attivazione degli inviti agli account dei membri. AWS Config

Lo script abilita automaticamente la registrazione AWS Config delle risorse per tutte le risorse, incluse le risorse globali, in tutte le regioni. Non limita la registrazione delle risorse globali a una singola regione. Per risparmiare sui costi, consigliamo di registrare le risorse globali in una sola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa dovrebbe essere la tua regione di origine. Per ulteriori informazioni, consulta Registrazione delle risorse in AWS Config.

Esiste uno script corrispondente per disabilitare Security Hub CSPM tra account e regioni.

Fasi successive: gestione e integrazioni della postura

Dopo aver abilitato Security Hub CSPM, ti consigliamo di abilitare gli standard e i controlli di sicurezza per monitorare il tuo livello di sicurezza. Dopo aver abilitato i controlli, Security Hub CSPM inizia a eseguire controlli di sicurezza e a generare risultati di controllo che aiutano a rilevare configurazioni errate nell'ambiente. AWS Per ricevere i risultati del controllo, è necessario abilitare e configurare AWS Config Security Hub CSPM. Per ulteriori informazioni, consulta Abilitazione e configurazione AWS Config per Security Hub CSPM.

Dopo aver abilitato Security Hub CSPM, puoi anche sfruttare le integrazioni tra Security Hub CSPM Servizi AWS e altre soluzioni di terze parti per visualizzarne i risultati in Security Hub CSPM. Security Hub CSPM aggrega i risultati da diverse fonti e li inserisce in un formato coerente. Per ulteriori informazioni, consulta Comprendere le integrazioni in Security Hub CSPM.