Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan dan mengkonfigurasi AWS Config untuk Security Hub CSPM
AWS Security Hub CSPM menggunakan AWS Config aturan untuk menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk sebagian besar kontrol. AWS Config memberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS. Ini menggunakan aturan untuk membuat konfigurasi dasar untuk sumber daya Anda dan perekam konfigurasi untuk mendeteksi apakah sumber daya tertentu melanggar ketentuan aturan.
Beberapa aturan, disebut sebagai aturan AWS Config terkelola, telah ditentukan dan dikembangkan oleh AWS Config. Aturan lainnya adalah AWS Config aturan khusus yang dikembangkan Security Hub CSPM. AWS Config aturan yang digunakan CSPM Security Hub untuk kontrol disebut sebagai aturan terkait layanan. Service-linked aturan mengizinkan Layanan AWS seperti Security Hub CSPM untuk membuat AWS Config aturan di akun Anda.
Jika Anda mengaktifkan CSPM AWS Security Hub dan Security Hub, Security Hub CSPM secara otomatis membuat perekam konfigurasi terkait layanan untuk menilai kontrol keamanan Anda. Anda tidak perlu mengaktifkan atau mengkonfigurasi secara manual AWS Config. Untuk informasi selengkapnya, lihat Menggunakan perekam konfigurasi terkait layanan.
Jika CSPM Security Hub diaktifkan tanpa Security Hub, Anda harus mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya secara manual. Untuk informasi selengkapnya, lihat Mengkonfigurasi secara manual AWS Config.
Topik
Menggunakan perekam konfigurasi terkait layanan
Saat Anda mengaktifkan CSPM AWS Security Hub dan Security Hub, Security Hub CSPM secara otomatis membuat dan mengelola perekam konfigurasi terkait layanan di seluruh akun dan Wilayah Anda. Anda tidak perlu mengaktifkan atau mengkonfigurasi secara manual AWS Config.
Nama perekam konfigurasi ini adalahAWSConfigurationRecorderForSecurityHubCSPM. Security Hub CSPM membuat perekam konfigurasi terkait layanan yang sesuai untuk setiap akun dan Wilayah tempat CSPM Security Hub dan Security Hub diaktifkan. Saat Anda mengaktifkan CSPM Security Hub untuk Akun AWS s dan Wilayah AWS s baru, Security Hub CSPM secara otomatis membuat perekam konfigurasi terkait layanan.
Security Hub CSPM mengelola konfigurasi sumber daya perekam konfigurasi terkait layanan, memastikan bahwa perekaman diaktifkan untuk semua sumber daya yang terkait dengan kontrol yang didukung oleh Security Hub. Untuk daftar sumber daya yang diperlukan, lihatDiperlukan AWS Config sumber daya untuk temuan kontrol.
Saat Security Hub CSPM membuat perekam konfigurasi terkait layanan ini, Security Hub tidak menggunakan perekam konfigurasi yang dikelola pelanggan. AWS Config
Untuk informasi selengkapnya tentang perekam konfigurasi, lihat Bekerja dengan perekam konfigurasi di Panduan AWS Config Pengembang.
Mengkonfigurasi secara manual AWS Config
Langkah-langkah berikut berlaku ketika Anda mengaktifkan Security Hub CSPM tanpa Security Hub. Dalam hal ini, Anda harus mengaktifkan AWS Config akun Anda dan mengaktifkan perekaman sumber daya untuk jenis sumber daya yang dievaluasi oleh kontrol yang diaktifkan. Setelah Anda melakukan ini, Security Hub CSPM membuat AWS Config aturan yang sesuai dan mulai menjalankan pemeriksaan keamanan untuk menghasilkan temuan.
Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config
Untuk menerima temuan kontrol di Security Hub CSPM, AWS Config harus diaktifkan untuk akun Anda di setiap Wilayah AWS tempat CSPM Security Hub diaktifkan. Jika Anda menggunakan Security Hub CSPM untuk lingkungan multi-akun, AWS Config harus diaktifkan di setiap Wilayah untuk akun administrator dan semua akun anggota.
Kami sangat menyarankan agar Anda mengaktifkan perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar dan kontrol CSPM Security Hub. Ini membantu Anda memastikan bahwa temuan kontrol Anda akurat.
Untuk mengaktifkan perekaman sumber daya AWS Config, Anda harus memiliki izin yang cukup untuk merekam sumber daya dalam peran AWS Identity and Access Management (IAM) yang dilampirkan ke perekam konfigurasi. Selain itu, pastikan bahwa tidak ada kebijakan atau AWS Organizations kebijakan IAM yang AWS Config mencegah izin untuk merekam sumber daya Anda. Kontrol CSPM Security Hub mengevaluasi konfigurasi sumber daya secara langsung dan tidak memperhitungkan AWS Organizations kebijakan. Untuk informasi selengkapnya tentang AWS Config perekaman, lihat Bekerja dengan perekam konfigurasi di Panduan AWS Config Pengembang.
Jika Anda mengaktifkan standar di CSPM Security Hub tetapi belum diaktifkan AWS Config, Security Hub CSPM mencoba membuat AWS Config aturan terkait layanan sesuai dengan jadwal berikut:
-
Pada hari Anda mengaktifkan standar.
-
Sehari setelah Anda mengaktifkan standar.
-
3 hari setelah Anda mengaktifkan standar.
-
7 hari setelah Anda mengaktifkan standar, dan terus menerus setiap 7 hari setelahnya.
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM juga mencoba membuat AWS Config aturan terkait layanan setiap kali Anda mengaitkan kebijakan konfigurasi yang memungkinkan satu atau beberapa standar dengan akun, unit organisasi (OU), atau root.
Merekam sumber daya di AWS Config
Saat Anda mengaktifkan AWS Config, Anda harus menentukan AWS sumber daya mana yang ingin direkam oleh perekam AWS Config konfigurasi. Melalui aturan terkait layanan, perekam konfigurasi memungkinkan CSPM Security Hub mendeteksi perubahan pada konfigurasi sumber daya Anda.
Agar CSPM Security Hub menghasilkan temuan kontrol yang akurat, Anda harus mengaktifkan perekaman AWS Config untuk jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Ini terutama mengaktifkan kontrol dengan jenis jadwal yang dipicu perubahan yang memerlukan perekaman sumber daya. Beberapa kontrol dengan jenis jadwal periodik juga memerlukan perekaman sumber daya. Untuk daftar kontrol ini dan sumber daya yang sesuai, lihatDiperlukan AWS Config sumber daya untuk temuan kontrol.
Awas
Jika Anda tidak mengonfigurasi AWS Config perekaman dengan benar untuk kontrol CSPM Security Hub, ini dapat menghasilkan temuan kontrol yang tidak akurat, terutama dalam kasus berikut:
-
Anda tidak pernah merekam sumber daya untuk kontrol tertentu, atau Anda menonaktifkan perekaman sumber daya sebelum membuat jenis sumber daya tersebut. Dalam kasus ini, Anda menerima
WARNINGtemuan untuk kontrol yang dipermasalahkan, meskipun Anda mungkin telah membuat sumber daya dalam lingkup kontrol setelah Anda menonaktifkan perekaman.WARNINGTemuan ini adalah temuan default yang tidak benar-benar mengevaluasi status konfigurasi sumber daya. -
Anda menonaktifkan perekaman untuk sumber daya yang dievaluasi oleh kontrol tertentu. Dalam hal ini, Security Hub CSPM mempertahankan temuan kontrol yang dihasilkan sebelum Anda menonaktifkan perekaman, meskipun kontrol tidak mengevaluasi sumber daya baru atau yang diperbarui. Security Hub CSPM juga mengubah status kepatuhan temuan menjadi.
WARNINGTemuan yang dipertahankan ini mungkin tidak secara akurat mencerminkan status konfigurasi sumber daya saat ini.
Secara default, AWS Config mencatat semua sumber daya Regional yang didukung yang ditemukan Wilayah AWS di mana ia berjalan. Untuk menerima semua temuan kontrol CSPM Security Hub, Anda juga harus mengonfigurasi AWS Config untuk merekam sumber daya global. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, Wilayah ini harus menjadi Wilayah asal Anda.
Di AWS Config, Anda dapat memilih antara perekaman berkelanjutan dan perekaman harian perubahan status sumber daya. Jika Anda memilih perekaman harian, AWS Config mengirimkan data konfigurasi sumber daya pada akhir setiap periode 24 jam jika ada perubahan status sumber daya. Jika tidak ada perubahan, tidak ada data yang dikirimkan. Hal ini dapat menunda pembuatan temuan CSPM Security Hub untuk kontrol yang dipicu perubahan hingga periode 24 jam selesai.
Untuk informasi selengkapnya tentang AWS Config perekaman, lihat Merekam AWS sumber daya di Panduan AWS Config Pengembang.
Cara untuk mengaktifkan dan mengkonfigurasi AWS Config
Anda dapat mengaktifkan AWS Config dan mengaktifkan perekaman sumber daya dengan salah satu cara berikut:
-
AWS Config konsol — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Config konsol. Untuk petunjuk, lihat Menyiapkan AWS Config dengan konsol di Panduan AWS Config Pengembang.
-
AWS CLI atau SDK — Anda dapat mengaktifkan AWS Config akun dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat Menyiapkan AWS Config dengan AWS CLI di Panduan AWS Config Pengembang. AWS Software Development Kit (SDK) juga tersedia untuk banyak bahasa pemrograman.
-
CloudFormation template — AWS Config Untuk mengaktifkan banyak akun, kami sarankan menggunakan AWS CloudFormation template bernama Enable AWS Config. Untuk mengakses template ini, lihat AWS CloudFormation StackSet contoh template di Panduan AWS CloudFormation Pengguna.
Secara default, template ini tidak termasuk rekaman untuk sumber daya global IAM. Pastikan Anda mengaktifkan perekaman untuk sumber daya global IAM hanya dalam satu Wilayah AWS untuk menghemat biaya perekaman. Jika Anda mengaktifkan agregasi lintas wilayah, ini harus menjadi Wilayah asal CSPM Security Hub Anda. Jika tidak, dapat berupa Wilayah mana pun yang tersedia CSPM Security Hub yang mendukung perekaman sumber daya global IAM. Kami merekomendasikan menjalankan satu StackSet untuk merekam semua sumber daya, termasuk sumber daya global IAM, di Wilayah asal atau Wilayah terpilih lainnya. Kemudian, jalankan satu detik StackSet untuk merekam semua sumber daya kecuali sumber daya global IAM di Wilayah lain.
-
GitHub script — Security Hub CSPM menawarkan GitHubskrip
yang memungkinkan Security Hub CSPM dan AWS Config untuk beberapa akun di seluruh Wilayah. Skrip ini berguna jika Anda belum terintegrasi AWS Organizations, atau Anda memiliki beberapa akun anggota yang bukan bagian dari organisasi.
Untuk informasi selengkapnya, lihat posting blog berikut di blog AWS
Keamanan: Optimalkan AWS Config untuk AWS Security Hub CSPM untuk mengelola postur keamanan cloud Anda secara efektif
Pertimbangan Biaya
Security Hub CSPM dapat memengaruhi biaya perekam AWS Config konfigurasi Anda dengan memperbarui item AWS::Config::ResourceCompliance konfigurasi. Pembaruan dapat terjadi setiap kali kontrol CSPM Security Hub yang terkait dengan AWS Config aturan mengubah status kepatuhan, diaktifkan atau dinonaktifkan, atau memiliki pembaruan parameter. Jika Anda menggunakan perekam AWS Config konfigurasi hanya untuk Security Hub CSPM, dan tidak menggunakan item konfigurasi ini untuk tujuan lain, kami sarankan untuk mematikan perekaman untuk itu. AWS Config Ini dapat mengurangi AWS Config
biaya Anda. Anda tidak perlu merekam pemeriksaan keamanan AWS::Config::ResourceCompliance agar berfungsi di Security Hub CSPM.
Untuk informasi tentang biaya yang terkait dengan pencatatan sumber daya, lihat harga dan AWS Config harga CSPM AWS Security Hub
Memahami Config.1 kontrol
catatan
Ketika AWS Security Hub CSPM dan Security Hub keduanya diaktifkan, Config.1 kontrol selalu memiliki status. PASSED Security Hub CSPM memiliki akses langsung ke item konfigurasi melalui perekam konfigurasi terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan perekam konfigurasi terkait layanan.
Di Security Hub CSPM, Config.1kontrol menghasilkan FAILED temuan di akun Anda jika AWS Config dinonaktifkan. Ini juga menghasilkan FAILED temuan di akun Anda jika AWS Config diaktifkan tetapi perekaman sumber daya tidak diaktifkan.
Jika AWS Config diaktifkan dan perekaman sumber daya diaktifkan, tetapi perekaman sumber daya tidak diaktifkan untuk jenis sumber daya yang diperiksa oleh kontrol yang diaktifkan, Security Hub CSPM akan menghasilkan FAILED temuan untuk kontrol. Config.1 Selain FAILED temuan ini, Security Hub CSPM menghasilkan WARNING temuan untuk kontrol yang diaktifkan dan jenis sumber daya yang diperiksa kontrol. Misalnya, jika Anda mengaktifkan KMS.5kontrol dan perekaman sumber daya tidak diaktifkan AWS KMS keys, Security Hub CSPM akan menghasilkan FAILED temuan untuk kontrol. Config.1 Security Hub CSPM juga menghasilkan WARNING temuan untuk KMS.5 kontrol dan kunci KMS Anda.
Untuk menerima PASSED temuan untuk Config.1 kontrol, aktifkan perekaman sumber daya untuk semua jenis sumber daya yang sesuai dengan kontrol yang diaktifkan. Juga nonaktifkan kontrol yang tidak diperlukan untuk organisasi Anda. Ini membantu memastikan bahwa Anda tidak memiliki celah konfigurasi dalam pemeriksaan kontrol keamanan Anda. Ini juga membantu memastikan bahwa Anda menerima temuan akurat tentang sumber daya yang salah konfigurasi.
Jika Anda adalah administrator CSPM Security Hub yang didelegasikan untuk organisasi, AWS Config rekaman harus dikonfigurasi dengan benar untuk akun dan akun anggota Anda. Jika Anda menggunakan agregasi lintas wilayah, AWS Config perekaman harus dikonfigurasi dengan benar di Wilayah beranda dan semua Wilayah yang ditautkan. Sumber daya global tidak perlu dicatat di Wilayah terkait.
Menghasilkan aturan terkait layanan
Untuk setiap kontrol yang menggunakan AWS Config aturan terkait layanan, Security Hub CSPM membuat instance aturan yang diperlukan di lingkungan Anda. AWS
Aturan terkait layanan ini khusus untuk Security Hub CSPM. Security Hub CSPM membuat aturan terkait layanan ini meskipun contoh lain dari aturan yang sama sudah ada. Aturan terkait layanan ditambahkan securityhub sebelum nama aturan asli dan pengidentifikasi unik setelah nama aturan. Misalnya, untuk aturan AWS Config terkelolavpc-flow-logs-enabled, nama aturan terkait layanan mungkin. securityhub-vpc-flow-logs-enabled-12345
Ada kuota untuk jumlah aturan AWS Config terkelola yang dapat digunakan untuk mengevaluasi kontrol. AWS Config aturan yang dibuat oleh Security Hub CSPM tidak diperhitungkan dalam kuota tersebut. Anda dapat mengaktifkan standar keamanan meskipun Anda telah mencapai AWS Config kuota untuk aturan terkelola di akun Anda. Untuk mempelajari kuota AWS Config aturan selengkapnya, lihat Batas layanan AWS Config di Panduan AWS Config Pengembang.
catatan
Jika Anda menggunakan Security Hub CSPM dan Security Hub, Anda dapat melihat aturan terkait layanan AWS Config tetapi Anda tidak akan dapat melihat sumber daya yang sesuai atau tidak sesuai yang terkait dengan aturan tersebut. Sumber daya yang sesuai dan tidak sesuai hanya akan terlihat di Security Hub CSPM dan Security Hub.