Questions fréquentes (FAQ) sur Security Hub

AWS Security Hub est une solution de sécurité cloud unifiée qui donne la priorité à vos problèmes de sécurité critiques et vous aide à répondre à grande échelle. Il détecte les problèmes critiques en corrélant et en enrichissant automatiquement les signaux de sécurité provenant de sources multiples, telles que la gestion de la posture (AWS Security Hub CSPM), la gestion des vulnérabilités (Amazon Inspector), les données sensibles (Amazon Macie) et la détection des menaces (Amazon GuardDuty). Cela permet aux équipes de sécurité de mettre au jour et de hiérarchiser les risques actifs dans leur environnement cloud grâce à une analyse automatisée et à des informations contextuelles. Grâce à des visualisations intuitives, notamment des tendances en matière de menaces et des résumés d’exposition, Security Hub transforme les signaux de sécurité complexes en informations exploitables au moyen d’une analytique des risques en temps quasi réel, afin que vous puissiez prendre rapidement des décisions de sécurité plus éclairées. La solution inclut également des flux de réponse automatisés pour rationaliser les mesures correctives à grande échelle, ce qui vous permet de réduire les risques de sécurité tout en améliorant la productivité de votre équipe et en minimisant les interruptions opérationnelles.

Security Hub CSPM (Gestion de la posture de sécurité dans le cloud) fournit des contrôles automatisés des bonnes pratiques de sécurité pour vous aider à comprendre votre posture de sécurité globale sur l’ensemble de vos comptes AWS. Il fournit des signaux de posture de sécurité essentiels qui fonctionnent conjointement avec d’autres fonctionnalités de sécurité pour hiérarchiser les problèmes de sécurité et vous aider à réagir à grande échelle.

Security Hub a amélioré ses capacités, passant d’un agrégateur centralisé de résultats de sécurité et d’un service de gestion de la posture de sécurité à une solution de sécurité cloud unifiée complète. Ce que vous connaissiez auparavant sous le nom de Security Hub, axé sur l’agrégation des résultats de sécurité, les contrôles des bonnes pratiques de sécurité et la surveillance de la conformité, est désormais disponible sous le nom de Security Hub CSPM. Sur cette base, Security Hub met désormais automatiquement en corrélation les signaux de sécurité à travers de multiples fonctionnalités, notamment la gestion des vulnérabilités (Amazon Inspector), la détection des menaces (Amazon GuardDuty), la gestion de la posture (AWS Security Hub CSPM) et la découverte de données sensibles (Amazon Macie). Cette corrélation améliorée vous aide à identifier les risques de sécurité critiques qui peuvent être ignorés lors de l’affichage isolé des résultats. Par exemple, Security Hub peut désormais détecter automatiquement lorsqu’une ressource exposée au public présentant une vulnérabilité critique a également accès à des données sensibles, fournissant ainsi un contexte crucial pour la hiérarchisation et l’intervention. Tout ce que vous appréciiez en matière d’agrégation des résultats de sécurité et de gestion de la posture est reste disponible et a été amélioré par ces nouvelles fonctionnalités. Vos contrôles de sécurité, votre surveillance de la conformité et vos intégrations existants continuent de fonctionner comme avant, tout en bénéficiant de nouvelles fonctionnalités puissantes pour la corrélation, l’analyse, les tendances en matière de menaces, les résumés en matière d’exposition au risque et les réponses automatisées. Cette évolution vous aide à protéger votre environnement cloud en transformant de multiples signaux de sécurité en informations exploitables grâce à l’analytique des risques en temps quasi réel, ce qui permet de prendre des décisions de sécurité plus rapides et plus éclairées.

AWS Security Hub est passé d’un service axé sur la gestion de la posture de sécurité dans le cloud (CSPM) à une solution de sécurité cloud unifiée. Dans la version disponible pour tous, Security Hub apporte des améliorations par rapport à la version préliminaire, notamment l’analytique des risques en temps quasi réel qui fournit un contexte de risque amélioré pour permettre des décisions de sécurité plus rapides et plus éclairées, un tableau de bord des tendances qui fournit une analyse visuelle des résumés des expositions et des widgets de tendance des menaces, et une activation et une gestion unifiées qui rationalisent les opérations grâce à une configuration en un seul clic entre les régions et les comptes afin d’accélérer et de simplifier la configuration. Security Hub introduit également un modèle de tarification rationalisé qui consolide la tarification de plusieurs services (Amazon Inspector, GuardDuty, Security Hub CSPM) afin d’optimiser la gestion des coûts et d’améliorer la prévisibilité budgétaire. Vous bénéficiez également d’un outil d’estimation des coûts pour vous aider à planifier votre investissement.

• Opérations de sécurité unifiées : bénéficiez d’une visibilité accrue sur votre environnement cloud grâce à une gestion centralisée au sein d’une solution de sécurité cloud unifiée.
• Hiérarchisation fiable : prenez des décisions éclairées concernant vos problèmes de sécurité critiques grâce à une corrélation automatisée et à un contexte de risque amélioré. 
• Informations de sécurité exploitables : obtenez des informations exploitables grâce à l’analytique des risques en temps quasi réel, y compris des tendances en matière de menaces et des résumés des expositions, afin de mettre en évidence les risques de sécurité propres à votre environnement.
• Réponse rationalisée à grande échelle : réduisez les temps de réponse grâce à des flux de travail automatisés et à l’intégration d’un système de création de tickets natif pour protéger votre environnement cloud.
• Surveillance continue de la sécurité : détectez les écarts par rapport aux bonnes pratiques de sécurité grâce à des contrôles de sécurité automatisés par rapport aux normes du secteur et aux bonnes pratiques AWS.

Oui, vous pouvez utiliser simultanément Security Hub et Security Hub CSPM. Security Hub amélioré est une solution de sécurité cloud unifiée qui utilise Security Hub CSPM pour la gestion de la posture aux côtés d’autres services de sécurité, notamment Amazon Inspector, Amazon GuardDuty et Amazon Macie. Lorsque vous activez le service Security Hub amélioré, celui-ci exploite Security Hub CSPM pour fournir des contrôles automatisés des bonnes pratiques de sécurité et une surveillance de la conformité, tout en ajoutant des fonctionnalités avancées de corrélation, de résultats en matière d’exposition au risque et de réponse automatisée à ces multiples services de sécurité. Cette démarche vous permet de conserver votre fonctionnalité Security Hub CSPM existante tout en bénéficiant des fonctionnalités de corrélation et de hiérarchisation améliorées de la solution unifiée Security Hub. Bien que vous puissiez choisir les fonctionnalités à activer, nous vous recommandons d’utiliser la solution unifiée complète pour hiérarchiser vos problèmes de sécurité critiques et y répondre à grande échelle grâce à une corrélation automatique et à un contexte amélioré entre les signaux de sécurité.

Security Hub améliore vos opérations de sécurité sans perturber les flux de travail existants. Vous bénéficiez d’une expérience de console unifiée qui consolide les résultats de sécurité de plusieurs services tout en conservant un accès complet aux consoles de service individuelles en cas de besoin. Les principales améliorations opérationnelles incluent un déploiement multi-comptes rationalisé grâce à l’intégration d’AWS Organizations, une gestion centralisée des résultats de sécurité et une hiérarchisation automatique des risques qui permet à votre équipe de se concentrer d’abord sur les problèmes critiques. Vos processus de sécurité et vos flux de travail d’équipe existants restent intacts, mais deviennent plus efficaces grâce à une visibilité consolidée et à une gestion simplifiée.

Le modèle tarifaire rationalisé de Security Hub regroupe les frais de plusieurs services de sécurité AWS dans le cadre d’une facturation unifiée lorsque vous activez Security Hub. Au lieu de recevoir des factures distinctes pour Amazon Inspector, GuardDuty et Security Hub CSPM, vous bénéficiez d’une tarification consolidée via Security Hub pour les fonctionnalités incluses. Le modèle comporte deux composants principaux : la formule Security Hub de base (incluse automatiquement) fournit l’analytique des risques ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses de sécurité, tandis que la formule d’analytique des menaces (module complémentaire) fournit des fonctionnalités de surveillance des menaces améliorées. Lorsque Security Hub n’est pas activé, ces services sont soumis à une tarification individuelle. Consultez la page de tarification de Security Hub pour plus de détails.

Il existe deux approches de déploiement :

Solution de sécurité unifiée (recommandée) : disponible pour tous, Security Hub fournit un processus d’activation unifié et la possibilité de gérer vos préférences sur plusieurs Régions et comptes AWS depuis une console unifiée unique.

• Activez Security Hub avec ses services essentiels :
• Security Hub CSPM pour la gestion de la posture
• Amazon Inspector pour la gestion des vulnérabilités (analyse Amazon EC2, analyse des conteneurs Amazon ECR et analyse standard AWS Lambda)
• Amazon GuardDuty pour la détection des menaces

Approche individuelle : utilisez les services de sécurité de manière indépendante tout en gérant les résultats de sécurité séparément. Bien que cela permette de cibler les cas d’utilisation, vous devrez corréler manuellement les résultats pour identifier et hiérarchiser les risques de sécurité critiques. Les nouvelles fonctionnalités du Security Hub amélioré, telles que les résultats en matière d’exposition au risque, les tendances, l’analytique des risques en temps réel et l’analyse de corrélation automatisée, nécessitent l’activation des services essentiels (Security Hub CSPM et Amazon Inspector). Sans ces services essentiels, vous ne pourrez pas bénéficier de ces fonctionnalités de sécurité. Choisissez l’approche qui correspond le mieux à vos besoins et préférences spécifiques en matière de sécurité. La solution unifiée est toutefois recommandée, car elle fournit une corrélation automatique et un contexte amélioré entre les signaux de sécurité, vous aidant ainsi à hiérarchiser les risques de sécurité et à y répondre à grande échelle.

Security Hub est un service régional, mais prend en charge l’agrégation interrégionale des résultats via la désignation d’une région d’agrégation. Les clients doivent activer Security Hub dans chaque région pour consulter les résultats de cette région.

Security Hub amélioré ne nécessite pas AWS Config. Cependant, Security Hub CSPM, qui est une fonctionnalité essentielle de Security Hub, nécessite que vous activiez AWS Config sur votre compte et que vous le configuriez pour enregistrer les modifications de configuration des ressources. AWS Config doit suivre ces modifications de configuration afin d’identifier d’éventuelles erreurs de configuration dans vos ressources.

Non, Security Hub complète les autres services de sécurité AWS en fournissant une vue unifiée et des fonctionnalités de corrélation avancées. Security Hub met en corrélation et enrichit les résultats provenant de services tels qu’Amazon GuardDuty, Amazon Inspector et Amazon Macie, mais il se peut que vous deviez toujours utiliser des consoles de service individuelles pour des configurations spécifiques ou des enquêtes détaillées. Security Hub fournit une solution de sécurité unifiée avec une analytique améliorée et des fonctionnalités de réponse automatisées sur l’ensemble de votre environnement cloud.

Security Hub donne la priorité à vos problèmes de sécurité critiques et vous aide à réagir à grande échelle en corrélant et en enrichissant automatiquement les signaux de sécurité provenant de sources multiples, telles que la détection des menaces et la gestion des vulnérabilités. Grâce à cette corrélation, Security Hub met au jour et hiérarchise les risques actifs dans votre environnement cloud, transformant les signaux de sécurité complexes en informations exploitables grâce à des visualisations intuitives et à des résumés en langage naturel. Cela vous permet de prendre rapidement des décisions de sécurité plus éclairées tout en utilisant des flux de réponse automatisés pour rationaliser les mesures correctives à grande échelle. Vous pouvez réduire les risques de sécurité, améliorer la productivité de votre équipe et minimiser les interruptions opérationnelles potentielles tout en conservant une visibilité complète sur votre posture de sécurité afin de protéger votre environnement cloud.

Security Hub met en corrélation les résultats de sécurité afin de hiérarchiser les problèmes critiques de votre environnement cloud. En analysant les relations entre les ressources et les signaux provenant de services tels qu’Amazon Inspector, AWS Security Hub CSPM, Amazon GuardDuty et Amazon Macie, le service Security Hub amélioré génère automatiquement des résultats en matière d’exposition au risque pour vous aider à résoudre vos problèmes de sécurité critiques. Ces résultats vous aident également à comprendre visuellement comment les différentes relations entre les ressources, les configurations et les résultats associés se combinent pour créer des trajectoires d’attaque potentielles. Par exemple : « Vol potentiel d’informations d’identification : une instance EC2 accessible par Internet avec un profil d’instance administrative présente des vulnérabilités logicielles exploitables sur le réseau avec une forte probabilité d’exploitation. » Vous pouvez obtenir des informations claires sur les ressources potentiellement exploitables et prendre des décisions en toute confiance quant aux problèmes à résoudre en premier lieu, ce qui vous permet d’identifier des scénarios de sécurité complexes qui peuvent être ignorés lors d’un examen isolé des résultats.

Security Hub calcule la gravité des résultats en matière d’exposition au risque en analysant et en corrélant plusieurs caractéristiques de sécurité dans les services AWS. Au lieu d’évaluer ces facteurs de manière isolée, Security Hub utilise une approche contextuelle, en attribuant une note de gravité en fonction de la corrélation entre ces facteurs. Par exemple, une ressource présentant une vulnérabilité identifiée peut recevoir une note de gravité plus élevée si elle est exploitable depuis Internet ou si elle a accès à des données sensibles.

Facilité de découverte : la disponibilité d’outils automatisés, tels que des analyses de ports ou des recherches Internet, pour découvrir la ressource à risque.

Facilité d’exploitation : la facilité avec laquelle un acteur de la menace peut exploiter le risque. Par exemple, s’il existe des chemins réseau ouverts ou des métadonnées mal configurées, un acteur malveillant peut exploiter plus facilement le risque.

Probabilité d’exploitation : Security Hub utilise à la fois des signaux externes, tels que le système EPSS (Exploit Protection Scoring System), et des renseignements internes sur les menaces pour déterminer la probabilité que le risque soit exploité. Cette approche complète s’applique aux résultats en matière d’exposition au risque pour les instances Amazon Elastic Compute Cloud (EC2) et les fonctions AWS Lambda.

Conscience : la mesure dans laquelle le risque n’est pas simplement théorique, mais comporte des exploits accessibles au public ou automatisés. Ce facteur s’applique aux résultats en matière d’exposition au risque pour les instances EC2 et les fonctions Lambda.

Impact : le préjudice potentiel si l’exploit est réalisé. Par exemple, une exposition peut entraîner une perte de confidentialité en raison de l’exposition de données, une perte d’intégrité due à une corruption des données, une perte de disponibilité ou une perte de responsabilité.

Security Hub vous aide à visualiser la manière dont les vulnérabilités et les erreurs configurations peuvent s’associer pour créer des trajectoires d’attaque potentielles vers les ressources critiques. Grâce à la corrélation automatisée des signaux de sécurité, Security Hub identifie ces trajectoires potentielles, vous aidant à comprendre quelles ressources critiques pourraient être touchées et la portée de l’exposition éventuelle au risque. Ces informations vous permettent de hiérarchiser les efforts de correction et de protéger vos ressources critiques avant que les risques ne soient exploités.

Security Hub fournit une vue unifiée de vos ressources AWS qui combine la posture de sécurité, les détails de configuration et le contexte de l’application. Vous pouvez identifier les actifs accessibles sur Internet et les résultats de sécurité associés grâce à une vue consolidée unique. Cela vous permet de hiérarchiser vos problèmes de sécurité critiques et d’y répondre à grande échelle en permettant une analyse de sécurité rationalisée pour tous vos types de ressources.

Security Hub fournit une analyse des tendances par le biais de résumés des expositions aux menaces et des tendances en matière de menaces qui vous aident à comprendre les modèles de sécurité au fil du temps. Le tableau de bord unifié comprend des widgets personnalisables qui affichent des vues de hiérarchisation basées sur les risques, une visualisation de la trajectoire d’attaque et l’analytique des tendances. Ces fonctionnalités vous permettent de suivre l’évolution de votre posture de sécurité et d’identifier les menaces émergentes ou les problèmes récurrents dans votre environnement.

Security Hub vous aide à répondre aux problèmes de sécurité critiques à grande échelle grâce à des flux de travail automatisés et à l’intégration avec les systèmes de création de tickets existants. En transformant les signaux de sécurité en informations exploitables et en fournissant des capacités de réponse automatisées, Security Hub vous aide à réduire les risques de sécurité tout en améliorant la productivité de vos équipes et en minimisant les interruptions opérationnelles.

Les résultats diffèrent entre Security Hub et Security Hub CSPM sur quatre aspects clés : leurs sources, leurs types, leur format et la diffusion des événements.

• Sources des résultats : Security Hub reçoit les résultats de Security Hub CSPM (résultats des contrôles de sécurité), Amazon GuardDuty, Amazon Inspector et Amazon Macie. Security Hub CSPM reçoit les résultats de plusieurs services AWS comme AWS Config, AWS WAF, Amazon GuardDuty, Amazon Inspector, des outils de partenaires tiers et vos résultats personnalisés.
• Types de résultats : bien que les deux reçoivent des résultats de services de sécurité intégrés, Security Hub amélioré génère également des résultats en matière d’exposition au risque en corrélant les signaux de sécurité d’AWS Security Hub CSPM, d’Amazon Inspector et d’Amazon Macie afin d’identifier les risques de sécurité critiques. Ces résultats en matière d’exposition au risque fournissent un contexte amélioré grâce à une corrélation automatique entre plusieurs signaux de sécurité.
• Format des résultats : Security Hub amélioré utilise le format OCSF (Open Cybersecurity Schema Framework), tandis que Security Hub CSPM utilise le format ASFF (AWS Security Finding Format). Cette différence de format reflète leurs approches distinctes en matière de gestion et d’analyse des résultats de sécurité.
• Diffusion des événements : les résultats de Security Hub CSPM seront transmis via Amazon EventBridge avec un type de détail intitulé « Résultats de Security Hub – Importés ». Les résultats de Security Hub seront transmis par EventBridge avec un type de détail intitulé « Résultats importés V2 ».

Le service Security Hub amélioré ne reçoit pas de résultats provenant d’outils partenaires tiers. Cependant, vous pouvez continuer à utiliser les intégrations de Security Hub CSPM avec les outils partenaires AWS pour envoyer, recevoir et mettre à jour les résultats dans Security Hub CSPM. Cela vous permet de gérer les flux de travail de vos outils partenaires existants tout en bénéficiant des fonctionnalités améliorées de corrélation et de hiérarchisation pour les résultats des services de sécurité natifs AWS.

Non, seuls les types de ressources qui peuvent être évalués par nos fonctionnalités de sécurité (Security Hub CSPM, Amazon Inspector, GuardDuty ou Macie) sont disponibles dans la liste des ressources. Cependant, toutes les ressources individuelles au sein de ces types de ressources sont incluses dans la liste. La vue de la liste des ressources de Security Hub fournit un inventaire des ressources axé sur la sécurité qui affiche les ressources prises en charge ainsi que leurs vulnérabilités, menaces et caractéristiques associées. Cette vue ciblée vous aide à identifier et à hiérarchiser les ressources critiques, par exemple en affichant toutes les actifs exposés au public dans votre environnement cloud.

Security Hub accélère la réaction en fournissant des flux de travail automatisés et en s’intégrant aux systèmes de création de tickets existants, ce qui vous permet de résoudre efficacement les problèmes de sécurité. Il s’appuie sur le format normalisé Open Cybersecurity Schema Framework (OCSF), permettant une intégration fluide avec vos outils de sécurité existants, notamment les systèmes SIEM, SOAR et de création de tickets. Vous pouvez configurer des mesures de réponse automatisées ou déclencher des alertes sur les canaux de communication de votre choix. Cette intégration vous permet de résoudre efficacement les problèmes de sécurité, de réduire les temps de réponse et de minimiser les tâches manuelles liées à vos opérations de sécurité.

La possibilité d’avoir différents administrateurs délégués dans Security Hub dépend de votre configuration actuelle. Voici les différents scénarios :

• Si Security Hub CSPM a défini le compte administrateur délégué comme compte de gestion de l’organisation, Security Hub peut définir le compte administrateur délégué sur le compte de votre choix.
• Si Security Hub CSPM n’a pas défini de compte d’administrateur délégué, Security Hub peut attribuer à l’administrateur délégué le compte de votre choix.
• Si Security Hub CSPM a défini le compte administrateur délégué comme un compte autre que le compte de gestion de l’organisation, Security Hub définira automatiquement le compte administrateur délégué sur le même compte que Security Hub CSPM. Toute modification apportée au compte d’administrateur délégué pour l’un ou l’autre des services s’appliquera aux deux services.

Pour maintenir une gouvernance cohérente et un contrôle des accès à moindre privilège, nous vous recommandons de faire appel au même administrateur délégué pour toutes les fonctionnalités de sécurité, notamment Security Hub, Security Hub CSPM, GuardDuty, Amazon Inspector et Macie.

AWS Security Hub utilise les politiques d’AWS Organizations pour gérer l’activation et la configuration de Security Hub sur les comptes membres de votre organisation. Vous ne pourrez pas utiliser la configuration centrale pour AWS Security Hub, mais vous pouvez continuer à l’utiliser pour AWS Security Hub CSPM.

Lorsque vous utilisez Security Hub et Security Hub CSPM ensemble, il est recommandé de migrer toutes les règles d’automatisation de CSPM vers Security Hub lorsque la règle s’applique à des sources de résultats également présentes dans Security Hub. Cela assure une visibilité dans Security Hub sur l’état final des résultats et garantit également qu’il n’y a pas d’utilisation contradictoire de règles pour le même type de résultat dans CSPM et Security Hub.

La CSPM est une pratique qui permet d’identifier les problèmes de configuration et les risques de conformité liés aux charges de travail, aux comptes et aux ressources afin de garantir la sécurité de votre cloud. Security Hub CSPM est le service AWS pour la CSPM qui effectue des contrôles des bonnes pratiques de sécurité, regroupe les alertes et permet de mettre en place des mesures correctives automatisées sur vos comptes, vos charges de travail et vos ressources AWS.

Lorsque vous ouvrez la console Security Hub CSPM pour la première fois, choisissez Démarrer, puis Activer. Security Hub CSPM utilise un rôle lié à un service qui inclut les autorisations et la politique de confiance nécessaires pour détecter et agréger les résultats, et pour configurer l’infrastructure AWS Config requise pour effectuer des contrôles de sécurité. De nombreux contrôles Security Hub CSPM nécessitent l’activation d’AWS Config pour effectuer des contrôles de sécurité sur un compte.

Une information est un ensemble de résultats connexes. Security Hub CSPM propose des informations gérées à l’aide de filtres que vous pouvez personnaliser davantage en fonction de votre environnement unique. Par exemple, les informations permettent d’identifier les instances Amazon Elastic Compute Cloud (Amazon EC2) qui ne disposent pas de correctifs de sécurité pour des vulnérabilités importantes, ou les compartiments Amazon Simple Storage Service (Amazon S3) dotés d’autorisations publiques de lecture ou d’écriture. Les informations gérées et personnalisées de Security Hub vous aident à suivre les problèmes de sécurité dans votre environnement AWS.

Une norme de sécurité est un ensemble de contrôles basés sur des cadres réglementaires ou sur les bonnes pratiques du secteur. Security Hub CSPM effectue des contrôles de sécurité automatisés par rapport aux contrôles. Chaque contrôle de sécurité consiste en une évaluation d’une règle par rapport à une seule ressource. Un contrôle unique peut impliquer plusieurs ressources (par exemple, des utilisateurs IAM) et un contrôle de sécurité est effectué pour chaque ressource. Une fois que Security Hub CSPM est activé, il commence immédiatement à exécuter des contrôles de sécurité continus et automatisés par rapport à chaque contrôle et à chaque ressource pertinente employée avec le contrôle. Consultez la référence des normes de Security Hub CSPM pour plus de détails sur les normes prises en charge et les contrôles associés.

La norme Pratiques exemplaires en matière de sécurité de base AWS est un ensemble de contrôles développés par AWS Security en collaboration avec les équipes de service concernées qui possèdent une connaissance spécifique des produits AWS. Ces contrôles détectent lorsque vos comptes et ressources AWS s’écartent des bonnes pratiques de sécurité. La norme vous permet d’évaluer en permanence l’ensemble de vos comptes et charges de travail AWS afin d’identifier rapidement les écarts par rapport aux bonnes pratiques. Le service fournit des conseils pratiques et prescriptifs sur la manière d’améliorer et de maintenir la posture de sécurité de votre organisation. Les contrôles incluent les bonnes pratiques de sécurité pour les ressources provenant de plusieurs services AWS, et chaque contrôle se voit attribuer une catégorie qui reflète la fonction de sécurité à laquelle il s’applique.

Oui, les packs de conformité Security Hub CSPM et AWS Config prennent en charge la surveillance continue de la conformité. Les règles AWS Config sous-jacentes peuvent être invoquées soit périodiquement, soit lorsque des changements sont détectés dans la configuration des ressources. Cela vous permet de contrôler et d’évaluer en continu la conformité globale des configurations de vos ressources AWS aux politiques et directives de votre organisation.

Security Hub CSPM fournit une gestion de la posture de sécurité et de conformité, en tant que service. Il utilise les règles AWS Config et AWS Config comme principal moyen pour évaluer la configuration des ressources AWS. Les règles AWS Config peuvent également être utilisées pour évaluer directement la configuration des ressources. Ils sont également utilisés par d’autres services AWS, comme AWS Control Tower et AWS Firewall Manager.

Si une norme de conformité telle que PCI DSS est déjà présente dans Security Hub CSPM, la fonctionnalité entièrement gérée de Security Hub CSPM est alors le moyen le plus simple de la rendre opérationnelle. Vous pouvez examiner les résultats grâce à l’intégration de Security Hub CSPM avec Amazon Detective. Vous pouvez également mettre en place des mesures correctives automatisées ou semi-automatisées grâce à l’intégration de Security Hub CSPM avec EventBridge. Cependant, si vous souhaitez créer vos propres normes de conformité ou de sécurité, qui peuvent inclure des contrôles de sécurité, de fonctionnement ou d’optimisation des coûts, optez pour les packs de conformité AWS Config.

Les packs de conformité AWS Config sont des modèles suggérés que vous pouvez utiliser pour simplifier la gestion des règles AWS Config en regroupant un groupe de règles AWS Config et les mesures de remédiation associées en une seule entité. Ce regroupement simplifie le déploiement des règles et des mesures correctives au sein d’une organisation. Cela permet également de créer des rapports agrégés, puisque les résumés de conformité sont souvent déclarés sous le format pack. Vous pouvez démarrer avec les exemples de conformité AWS Config que nous vous fournissons, puis les personnaliser comme bon vous semble.

AWS Systems Manager est le centre des opérations d’AWS, qui vous permet de gérer facilement votre infrastructure. Systems Manager OpsCenter permet aux opérateurs informatiques et aux ingénieurs DevOps de diagnostiquer et résoudre les problèmes opérationnels liés aux ressources AWS dans un emplacement central, et Systems Manager Explorer est un tableau de bord opérationnel qui donne un aperçu des données opérationnelles de vos comptes et Régions AWS. Les professionnels de la sécurité et de la conformité et les ingénieurs DevOps utilisent Security Hub CSPM pour surveiller et améliorer en permanence la posture de sécurité de leurs comptes et ressources AWS.

La plupart des clients séparent leurs problèmes de sécurité (par exemple, les compartiments Amazon S3 accessibles au public ou le crypto-minage détecté sur les instances Amazon EC2) des problèmes opérationnels (par exemple, les instances Amazon Redshift sous-utilisées ou les instances Amazon EC2 sur-utilisées), car les problèmes de sécurité sont sensibles et ont généralement des exigences d’accès différentes. Par conséquent, ils utilisent Security Hub pour comprendre, gérer et corriger leurs problèmes de sécurité, et ils utilisent Systems Manager pour comprendre, gérer et corriger leurs problèmes opérationnels. Nous vous recommandons également d’utiliser Security Hub CSPM pour obtenir des représentations plus spécialisées de votre posture de sécurité.

Lorsque les mêmes ingénieurs travaillent à la fois sur les questions de sécurité et d’opération, il peut être utile de regrouper celles-ci en un même emplacement. Pour ce faire, vous pouvez opter pour l’envoi des résultats à OpsCenter et Explorer, dans lesquels les ingénieurs enquêtent et résolvent les problèmes de sécurité en même temps que les problèmes opérationnels, à l’aide de dossiers d’exploitation Systems Manager Automation.

Security Hub analyse vos alertes de sécurité, ou résultats, provenant de plusieurs services AWS, notamment : AWS Config, Amazon GuardDuty, AWS Health, Amazon Inspector, AWS Firewall Manager, Analyseur d’accès AWS IAM, AWS IoT Device Defender et Amazon Macie. Consultez également la liste des intégrations de produits de partenaires tiers disponibles qui sont intégrées à AWS Security Hub et prennent en charge le format de résultats standardisé.

Il est facile de démarrer avec le service Security Hub amélioré, surtout si vous utilisez d’autres services de sécurité AWS. Security Hub amélioré propose une activation unifiée avec une configuration en un seul clic entre les régions et les comptes, ce qui réduit la complexité de la configuration. Lorsque vous activez Security Hub, il active automatiquement ses services essentiels et ses services supplémentaires : Security Hub CSPM pour la gestion de la posture et les fonctionnalités Amazon Inspector (analyse Amazon EC2, analyse Amazon ECR et analyse standard AWS Lambda) pour la gestion des vulnérabilités, Amazon GuardDuty pour la détection des menaces et Amazon Macie pour la découverte de données sensibles. Cette activation unifiée fournit une couverture de sécurité complète et vous permet de tirer pleinement parti des fonctionnalités de corrélation automatisée de Security Hub. Vous pouvez activer Security Hub amélioré via la nouvelle console ou les API. Le processus est conçu pour être fluide, ce qui vous permet d’améliorer la visibilité de votre posture de sécurité sans perturber vos opérations actuelles.

Oui, vous pouvez continuer à utiliser Security Hub CSPM si votre besoin principal est d’évaluer vos ressources AWS par rapport aux bonnes pratiques de sécurité. Cependant, nous vous recommandons d’explorer Security Hub amélioré pour hiérarchiser vos problèmes de sécurité critiques et vous aider à y répondre à grande échelle. Le service Security Hub amélioré met automatiquement en corrélation et enrichit les signaux de sécurité à travers de multiples fonctionnalités, les transforme en informations exploitables et fournit des flux de réponse automatisés. Cela vous permet de réduire les risques de sécurité, d’améliorer la productivité de votre équipe et de minimiser les interruptions opérationnelles potentielles tout en conservant une visibilité complète sur votre posture de sécurité. 

Oui. Security Hub CSPM crée un score pour vous montrer comment vous vous en sortez par rapport aux normes de sécurité et l’affiche sur le tableau de bord principal de Security Hub. Lorsque vous cliquez sur la norme de sécurité, vous verrez un résumé des contrôles qui nécessitent une attention particulière. Security Hub CSPM montre comment le contrôle a été évalué et fournit des informations sur les bonnes pratiques pour atténuer un problème.

Non. Security Hub CSPM se concentre sur les contrôles de sécurité automatisés. La plupart des normes de sécurité comportent divers contrôles qui ne peuvent pas être vérifiés de manière automatisée, et ceux-ci sont hors de portée de Security Hub CSPM. Les contrôles de sécurité de Security Hub CSPM peuvent vous aider à vous préparer à un audit, mais ils ne signifient pas que vous réussirez un audit associé à la norme de sécurité.

Oui. Security Hub CSPM vous permet de personnaliser vos contrôles de sécurité en fonction des besoins spécifiques de votre organisation. Cela peut être fait en personnalisant les paramètres. Par exemple, vous pouvez définir ce que signifie un mot de passe IAM fort ou quelle devrait être la durée maximale pour supprimer les informations d’identification non utilisées ou arrêter les instances non utilisées.

Security Hub CSPM prend en charge CIS AWS Foundations Benchmark v1.2.0 et v1.4.0. La documentation de Security Hub CSPM fournit des détails sur les contrôles spécifiques et la manière dont chaque contrôle correspond à des exigences spécifiques du CIS AWS Foundations Benchmark.

La norme PCI DSS (Payment Card Industry Data Security Standard) de Security Hub CSPM consiste en un ensemble de contrôles des bonnes pratiques de sécurité AWS. Chaque contrôle s’applique à une ressource AWS spécifique et concerne une ou plusieurs exigences de la norme PCI DSS. Security Hub CSPM prend désormais en charge les versions 3.2.1 et 4.0.1 de la norme PCI DSS. La documentation Security Hub CSPM fournit des détails sur la façon dont les contrôles PCI DSS de Security Hub CSPM correspondent à des exigences spécifiques de la norme PCI DSS.

Oui, vous pouvez utiliser simultanément Security Hub et Security Hub CSPM. Le service Security Hub amélioré est une solution de sécurité cloud unifiée qui inclut des services de base (Security Hub CSPM et Amazon Inspector) et s’intègre à des services supplémentaires (Amazon GuardDuty et Amazon Macie) pour vous aider à protéger votre environnement cloud. Bien que vous puissiez choisir les services à activer, nous vous recommandons d’utiliser la solution unifiée complète pour hiérarchiser vos problèmes de sécurité critiques et y répondre à grande échelle grâce à une corrélation automatique et à un contexte amélioré entre les signaux de sécurité.