Abilitazione e configurazione AWS Config per Security Hub CSPM - AWS Security Hub
Considerazioni prima dell'attivazione e della configurazione AWS ConfigRegistrazione delle risorse in AWS ConfigModi per abilitare e configurare AWS ConfigControllo Config.1Generazione delle regole legate ai serviziConsiderazioni sui costi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione e configurazione AWS Config per Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) utilizza AWS Config regole per eseguire controlli di sicurezza e generare risultati per la maggior parte dei controlli. AWS Config fornisce una visualizzazione dettagliata della configurazione delle AWS risorse nel tuo. Account AWS Utilizza regole per stabilire una configurazione di base per le risorse e un registratore di configurazione per rilevare se una particolare risorsa viola le condizioni di una regola. Alcune regole, denominate regole AWS Config gestite, sono predefinite e sviluppate da. AWS Config Altre regole sono regole AWS Config personalizzate sviluppate da Security Hub CSPM.

AWS Config le regole utilizzate da Security Hub CSPM per i controlli sono denominate regole collegate ai servizi. Le regole collegate ai servizi consentono, Servizi AWS ad esempio Security Hub CSPM, di creare AWS Config regole nell'account.

Per ricevere i risultati del controllo in Security Hub CSPM, devi AWS Config abilitarli nel tuo account e attivare la registrazione delle risorse valutate dai controlli abilitati. Questa pagina spiega come abilitare AWS Config Security Hub CSPM e attivare la registrazione delle risorse.

Considerazioni prima dell'attivazione e della configurazione AWS Config

Per ricevere i risultati del controllo in Security Hub CSPM, il tuo account deve essere AWS Config abilitato in tutti i paesi in Regione AWS cui è abilitato Security Hub CSPM. Se si utilizza Security Hub CSPM per un ambiente con più account, AWS Config deve essere abilitato in ogni regione per l'account amministratore e tutti gli account dei membri.

Ti consigliamo vivamente di attivare la registrazione delle risorse AWS Config prima di abilitare qualsiasi standard e controllo CSPM di Security Hub. Questo ti aiuta a garantire che i risultati dei controlli siano accurati.

Per attivare la registrazione delle risorse AWS Config, è necessario disporre di autorizzazioni sufficienti per registrare le risorse nel ruolo AWS Identity and Access Management (IAM) collegato al registratore di configurazione. Inoltre, assicurati che non esista alcuna politica IAM o gestita AWS Organizations che AWS Config impedisca di avere l'autorizzazione a registrare le tue risorse. I controlli di controllo CSPM di Security Hub valutano direttamente la configurazione di una risorsa e non tengono conto delle AWS Organizations politiche. Per ulteriori informazioni sulla AWS Config registrazione, consulta Lavorare con il registratore di configurazione nella Guida per gli AWS Config sviluppatori.

Se abiliti uno standard in Security Hub CSPM ma non lo hai abilitato AWS Config, Security Hub CSPM tenta di creare AWS Config regole secondo la seguente pianificazione:

  • Il giorno in cui abiliti lo standard.

  • Il giorno dopo aver abilitato lo standard.

  • 3 giorni dopo l'attivazione dello standard.

  • 7 giorni dopo l'attivazione dello standard e successivamente in modo continuativo ogni 7 giorni.

Se si utilizza la configurazione centrale, Security Hub CSPM tenta anche di creare AWS Config regole collegate ai servizi ogni volta che si associa una politica di configurazione che abilita uno o più standard agli account, alle unità organizzative (OUs) o alla radice.

Registrazione delle risorse in AWS Config

Quando si abilita AWS Config, è necessario specificare quali AWS risorse si desidera che il registratore di AWS Config configurazione registri. Tramite le regole collegate al servizio, il registratore di configurazione consente a Security Hub CSPM di rilevare le modifiche alle configurazioni delle risorse.

Affinché Security Hub CSPM generi risultati di controllo accurati, è necessario attivare la registrazione AWS Config per le risorse che corrispondono ai controlli abilitati. Sono principalmente abilitati i controlli con un tipo di pianificazione innescato dalla modifica che richiedono la registrazione delle risorse. Alcuni controlli con un tipo di pianificazione periodica richiedono anche la registrazione delle risorse. Per un elenco di questi controlli e delle risorse corrispondenti, vedereAWS Config Risorse necessarie per i risultati del controllo.

avvertimento

Se non configuri correttamente AWS Config la registrazione per i controlli CSPM di Security Hub, i risultati dei controlli possono essere imprecisi, in particolare nei seguenti casi:

  • Non hai mai registrato la risorsa per un determinato controllo o hai disabilitato la registrazione di una risorsa prima di creare quel tipo di risorsa. In questi casi, riceverete un WARNING risultato relativo al controllo in questione, anche se potreste aver creato delle risorse nell'ambito del controllo dopo aver disattivato la registrazione. Questo WARNING risultato è un risultato predefinito che in realtà non valuta lo stato di configurazione della risorsa.

  • Si disabilita la registrazione per una risorsa che viene valutata da un particolare controllo. In questo caso, Security Hub CSPM conserva i risultati del controllo generati prima della disattivazione della registrazione, anche se il controllo non valuta risorse nuove o aggiornate. Security Hub CSPM modifica anche lo stato di conformità dei risultati in. WARNING Questi risultati conservati potrebbero non riflettere accuratamente lo stato di configurazione corrente di una risorsa.

Per impostazione predefinita, AWS Config registra tutte le risorse regionali supportate che rileva nell'ambiente Regione AWS in cui è in esecuzione. Per ricevere tutti i risultati del controllo CSPM di Security Hub, è inoltre necessario AWS Config configurare la registrazione delle risorse globali. Per risparmiare sui costi, consigliamo di registrare le risorse globali solo in una singola regione. Se utilizzi la configurazione centrale o l'aggregazione tra regioni, questa regione dovrebbe essere la tua regione di origine.

In AWS Config, puoi scegliere tra la registrazione continua e la registrazione giornaliera delle modifiche allo stato delle risorse. Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati CSPM di Security Hub per i controlli attivati dalle modifiche fino al completamento di un periodo di 24 ore.

Per ulteriori informazioni sulla AWS Config registrazione, consulta Recording resources nella Developer Guide. AWS AWS Config

Modi per abilitare e configurare AWS Config

È possibile abilitare AWS Config e attivare la registrazione delle risorse in uno dei seguenti modi:

  • AWS Config console: è possibile attivare AWS Config un account utilizzando la AWS Config console. Per istruzioni, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori.

  • AWS CLI oppure SDKs — È possibile attivare AWS Config un account utilizzando AWS Command Line Interface (AWS CLI). Per istruzioni, consulta Configurazione AWS Config con AWS CLI nella Guida per gli AWS Config sviluppatori. AWS i kit di sviluppo software (SDKs) sono disponibili anche per molti linguaggi di programmazione.

  • CloudFormation modello — AWS Config Per abilitare più account, consigliamo di utilizzare il AWS CloudFormation modello denominato Enable. AWS Config Per accedere a questo modello, consulta i modelli di AWS CloudFormation StackSet esempio nella Guida AWS CloudFormation per l'utente.

    Per impostazione predefinita, questo modello esclude la registrazione per le risorse globali IAM. Assicurati di attivare la registrazione per le risorse globali IAM in una sola volta Regione AWS per ridurre i costi di registrazione. Se hai abilitato l'aggregazione tra regioni, questa dovrebbe essere la tua area di origine del Security Hub CSPM. Altrimenti, può essere qualsiasi regione in cui è disponibile Security Hub CSPM che supporta la registrazione di risorse globali IAM. Ti consigliamo di eseguirne una StackSet per registrare tutte le risorse, incluse le risorse globali IAM, nella regione principale o in un'altra regione selezionata. Quindi, esegui un secondo StackSet per registrare tutte le risorse tranne le risorse globali IAM in altre regioni.

  • GitHub script — Security Hub CSPM offre uno GitHubscript che abilita Security Hub CSPM e AWS Config per più account tra le regioni. Questo script è utile se non hai ancora effettuato l'integrazione o se disponi AWS Organizations di alcuni account membri che non fanno parte di un'organizzazione.

Per ulteriori informazioni, consulta il seguente post sul blog sulla AWS sicurezza: Optimize AWS Config for AWS Security Hub Cloud Security Posture Management (CSPM) per gestire efficacemente la tua posizione di sicurezza sul cloud.

Controllo Config.1

In Security Hub CSPM, il controllo Config.1 genera FAILED risultati nell'account se è disabilitato. AWS Config Inoltre, genera FAILED risultati nel tuo account se AWS Config è abilitato ma la registrazione delle risorse non è attivata.

Se AWS Config è abilitata e la registrazione delle risorse è attivata, ma la registrazione delle risorse non è attivata per un tipo di risorsa controllata da un controllo abilitato, Security Hub CSPM genera un FAILED risultato per il controllo Config.1. Oltre a questo FAILED risultato, Security Hub CSPM genera WARNING risultati per il controllo abilitato e i tipi di risorse controllate dal controllo. Ad esempio, se si abilita il controllo KMS.5 e la registrazione delle risorse non è attivata AWS KMS keys, Security Hub CSPM genera un FAILED risultato per il controllo Config.1. Security Hub CSPM genera anche WARNING risultati per il controllo KMS.5 e le tue chiavi KMS.

Per ricevere un PASSED risultato per il controllo Config.1, attiva la registrazione delle risorse per tutti i tipi di risorse che corrispondono ai controlli abilitati. Disabilita anche i controlli che non sono necessari per la tua organizzazione. Questo aiuta a garantire che non vi siano lacune di configurazione nei controlli di sicurezza. Inoltre, aiuta a garantire la ricezione di risultati accurati sulle risorse configurate in modo errato.

Se sei l'amministratore CSPM delegato di Security Hub per un'organizzazione, la AWS Config registrazione deve essere configurata correttamente per il tuo account e i tuoi account membro. Se utilizzi l'aggregazione tra regioni, la AWS Config registrazione deve essere configurata correttamente nella regione d'origine e in tutte le regioni collegate. Non è necessario registrare le risorse globali nelle regioni collegate.

Generazione delle regole legate ai servizi

Per ogni controllo che utilizza una AWS Config regola collegata al servizio, Security Hub CSPM crea istanze della regola richiesta nell'ambiente. AWS

Queste regole collegate ai servizi sono specifiche per Security Hub CSPM. Security Hub CSPM crea queste regole collegate ai servizi anche se esistono già altre istanze delle stesse regole. La regola collegata al servizio viene aggiunta securityhub prima del nome della regola originale e un identificatore univoco dopo il nome della regola. Ad esempio, per la regola AWS Config gestitavpc-flow-logs-enabled, il nome della regola collegata al servizio potrebbe essere. securityhub-vpc-flow-logs-enabled-12345

Esistono quote per il numero di regole AWS Config gestite che possono essere utilizzate per valutare i controlli. AWS Config le regole create da Security Hub CSPM non contano ai fini di tali quote. Puoi abilitare uno standard di sicurezza anche se hai già raggiunto la AWS Config quota di regole gestite nel tuo account. Per ulteriori informazioni sulle quote per AWS Config le regole, consulta la sezione Limiti del servizio AWS Config nella Guida per gli AWS Config sviluppatori.

Considerazioni sui costi

Security Hub CSPM può influire sui costi del registratore di AWS Config configurazione aggiornando l'AWS::Config::ResourceComplianceelemento di configurazione. Gli aggiornamenti possono avvenire ogni volta che un controllo CSPM di Security Hub associato a una AWS Config regola modifica lo stato di conformità, viene abilitato o disabilitato o presenta aggiornamenti dei parametri. Se utilizzi il registratore di AWS Config configurazione solo per Security Hub CSPM e non usi questo elemento di configurazione per altri scopi, ti consigliamo di disattivarne la registrazione. AWS Config Questo può ridurre i costi. AWS Config Non è necessario registrare i controlli di sicurezza AWS::Config::ResourceCompliance per funzionare in Security Hub CSPM.

Per informazioni sui costi associati alla registrazione delle risorse, consulta i prezzi e i prezzi AWS di Security Hub Cloud Security Posture Management (CSPM).AWS Config