Gestione della configurazione degli account dei membri in un'AWSorganizzazione - AWSSecurity Hub
Catalogo di configurazione del Security HubAbilitazione di una configurazione con un tipo di policyAbilitazione di una configurazione con un tipo di distribuzioneModifica di una politica di configurazioneEliminazione di una politica di configurazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione della configurazione degli account dei membri in un'AWSorganizzazione

L'amministratore delegato di un'AWSorganizzazione può configurare le funzionalità di sicurezza tra gli account dei membri e le regioni. Sono disponibili due tipi di configurazioni, politiche e distribuzioni. Le politiche generano le politiche di AWS Organizations per account e regioni per AWS Security Hub e Amazon Inspector. Le distribuzioni sono un'azione unica per abilitare una funzionalità di sicurezza su account e regioni selezionati per Amazon e AWS Security GuardDuty Hub CSPM. A differenza delle politiche, non è possibile visualizzare o modificare le distribuzioni e le distribuzioni non si applicano ai nuovi account abilitati. In alternativa, le funzionalità di attivazione automatica, per gli account dei nuovi membri, sono disponibili in Amazon GuardDuty e AWS Security Hub CSPM.

Catalogo di configurazione del Security Hub

Il catalogo di configurazione di Security Hub offre diverse opzioni per aiutarti a configurare gli account AWS dell'organizzazione per le funzionalità di sicurezza fornite da.

Di seguito sono riportate le opzioni disponibili nel catalogo di configurazione di Security Hub.

Security Hub (funzionalità essenziali e aggiuntive)

Questa è la configurazione consigliata da implementare per Security Hub.

Tipo: policy e implementazioni

Descrizione: questa configurazione attiva le funzionalità essenziali di gestione della sicurezza, gestione della postura, analisi delle minacce e gestione delle vulnerabilità di Security Hub. Facoltativamente, abilita funzionalità aggiuntive.

Analisi delle minacce da GuardDuty

Tipo: Implementazione

Descrizione: attiva GuardDuty funzionalità Amazon selezionate per monitorare, analizzare ed elaborare continuamente sorgenti di AWS dati e registri nel tuo AWS ambiente.

Gestione della postura da AWS Security Hub (CSPM)

Tipo: Implementazione

Descrizione: questa configurazione attiva gli standard e i controlli di Security Hub CSPM che rilevano quando gli AWS account e le risorse si discostano dalle migliori pratiche di sicurezza.

Gestione delle vulnerabilità con Amazon Inspector

Tipo: Policy

Descrizione: questa configurazione attiva funzionalità selezionate di Amazon Inspector che rilevano automaticamente carichi di lavoro, istanze, immagini dei container, ecc. e li analizza per individuare vulnerabilità ed esposizione della rete.

Abilitazione di una configurazione con un tipo di policy

La procedura seguente descrive come creare una configurazione con un tipo di politica per gli account AWS dell'organizzazione. Per creare una politica di configurazione, è necessario creare la politica dell'amministratore delegato nell'account di gestione dell'AWSorganizzazione. Per informazioni sulla creazione della politica di amministratore delegato in Security Hub, vedere Creazione della politica di amministratore delegato in Security Hub.

Per creare una politica che abiliti e disabiliti gli account dei membri

  1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dal pannello di navigazione, scegli Gestione, quindi scegli Configurazioni.

  3. Scegli un elemento con un tipo di politica o politica e distribuzione dal catalogo di configurazione. Per configurare completamente Security Hub si consiglia di scegliere Security Hub (funzionalità essenziali e aggiuntive).

  4. Nella pagina Configura Security Hub nella sezione Dettagli, inserisci un nome e una descrizione per la policy.

  5. Nella sezione Funzionalità di sicurezza, esegui una delle seguenti operazioni:

    1. (Opzione 1) Scegli Abilita tutte le funzionalità. Ciò attiverà tutte le funzionalità essenziali del Security Hub, l'analisi delle minacce e le funzionalità aggiuntive.

    2. (Opzione 2) Scegli Personalizza le funzionalità. Seleziona l'analisi delle minacce e le funzionalità aggiuntive da attivare. Non è possibile deselezionare alcuna funzionalità che fa parte delle funzionalità del piano essenziale di Security Hub.

  6. Nella sezione Selezione dell'account, seleziona una delle seguenti opzioni. Scegli Tutte le unità organizzative e gli account se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli Unità organizzative e account specifici se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli Nessuna unità organizzativa o account se non desideri applicare la configurazione a nessuna unità organizzativa o account.

  7. Nella sezione Regioni, scegli Abilita tutte le regioni, Disabilita tutte le regioni o Specificare le regioni. Se scegli Abilita tutte le regioni, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli Disabilita tutte le regioni, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli Specificare le regioni, devi scegliere quali regioni vuoi abilitare e disabilitare.

  8. (Facoltativo) Per le impostazioni avanzate, consulta la guida diAWS Organizations.

  9. (Facoltativo) Per i tag Resource, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.

  10. Scegli Next (Successivo).

  11. Controlla le modifiche, quindi scegli Applica. I tuoi account target sono configurati in base alla politica. Lo stato di configurazione della politica verrà visualizzato nella parte superiore della pagina Politiche. Ciascuna funzionalità indicherà se è stata configurata o se si verificano errori di distribuzione. Per eventuali errori, fai clic sul collegamento relativo al messaggio di errore per visualizzare ulteriori dettagli. Per visualizzare la politica efficace a livello di account, puoi consultare la scheda Organizzazione nella pagina Configurazioni, dove puoi scegliere un account.

Abilitazione di una configurazione con un tipo di distribuzione

La procedura seguente descrive come creare una configurazione con un tipo di distribuzione per gli account AWS dell'organizzazione.

Per creare una distribuzione che abiliti e disabiliti gli account dei membri

  1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dal pannello di navigazione, scegli Gestione, quindi scegli Configurazioni.

  3. Scegli un elemento con un tipo di distribuzione dal catalogo di configurazione. Per configurare completamente Security Hub si consiglia di scegliere Security Hub (funzionalità essenziali e aggiuntive).

  4. Nella sezione Funzionalità di sicurezza, seleziona le funzionalità di sicurezza che devono essere attivate.

  5. Nella sezione Selezione dell'account, seleziona una delle seguenti opzioni. Scegli Tutte le unità organizzative e gli account se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli Unità organizzative e account specifici se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli Nessuna unità organizzativa o account se non desideri applicare la configurazione a nessuna unità organizzativa o account.

  6. Nella sezione Regioni, scegli Abilita tutte le regioni, Disabilita tutte le regioni o Specificare le regioni. Se scegli Abilita tutte le regioni, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli Disabilita tutte le regioni, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli Specificare le regioni, devi scegliere quali regioni vuoi abilitare e disabilitare.

  7. Scegli Configura.

Modifica di una politica di configurazione

È possibile modificare le funzionalità, le regioni e gli account associati alle configurazioni che hanno un tipo di politica.

Di seguito viene descritto come modificare una politica di configurazione in Security Hub.

Per creare, modificare una politica di configurazione

  1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dal pannello di navigazione, scegli Gestione, quindi scegli Configurazioni.

  3. Nella scheda Politiche configurate, seleziona il pulsante di opzione relativo alla politica che desideri modificare. Scegli Modifica.

  4. Per apportare modifiche nella sezione Selezione dell'account, seleziona una delle seguenti opzioni. Scegli Tutte le unità organizzative e gli account se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli Unità organizzative e account specifici se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli Nessuna unità organizzativa o account se non desideri applicare la configurazione a nessuna unità organizzativa o account.

  5. Per apportare modifiche nella sezione Regioni, scegli Abilita tutte le regioni, Disabilita tutte le regioni o Specificare le regioni. Se scegli Abilita tutte le regioni, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli Disabilita tutte le regioni, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli Specificare le regioni, devi scegliere quali regioni vuoi abilitare e disabilitare.

  6. Scegli Next (Successivo).

  7. Rivedere le modifiche, quindi scegliere Update (Aggiorna). I tuoi account di destinazione sono configurati in base alla politica.

Eliminazione di una politica di configurazione

È possibile eliminare la configurazione in cui si dispone di un tipo di politica. Quando si elimina una politica, tutti gli account e le unità organizzative collegati verranno rimossi dalla politica.

Di seguito viene descritto come eliminare una politica di configurazione in Security Hub.

Per creare, eliminare una politica di configurazione

  1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dal pannello di navigazione, scegli Gestione, quindi scegli Configurazioni.

  3. Nella scheda Politiche configurate, seleziona il pulsante di opzione relativo alla politica che desideri modificare. Scegli il pulsante Elimina.

  4. Digita delete nella casella di conferma. Scegli Elimina.